1

我有一个 Web API 应用程序并为它配置了 SSL。

我们的身份验证机制是通过标头。每个请求都必须包含一对密钥,我们将根据我们的数据库验证它们。我们没有使用 Forms/Basic 或 Digect 身份验证。

我只是想知道我们是否必须针对跨站点请求伪造 (CSRF) 问题采取任何措施?它适用于这种情况吗?

我想是因为我们没有使用 cookie,所以它应该是安全的。

4

1 回答 1

3

实际上,只有当用户的浏览器自动推送攻击者没有的某些凭据时,强制另一个用户执行请求才会对攻击者有利。那可以是:

  • 授权饼干
  • HTTP 身份验证(基本/摘要/Windows 身份验证)
  • TLS 会话 ID(在 HTTPS 中)
  • 来自 IP 地址或网络位置(例如 Intranet 站点)的隐式授权

如果您不依赖任何此类凭据,则无需防御 CSRF 攻击。

于 2013-08-02T11:31:25.243 回答