初始情况:
RESTful Web 服务通过使用双重提交 cookie 方法来防御 CSRF 攻击。这意味着身份验证令牌被提交两次并在服务端进行验证。
问题/安全威胁:
android 和 iOS 平台的 WebView 元素允许创建一个恶意 Web 浏览器,该浏览器揭示和修改会话 cookie。webView.loadUrl("javascript:document.cookie=’’;");. 如果攻击者已经弄清楚了双重提交的 cookie 的样子(在本例中是 AuthenticationToken),他就能够创建一个恶意的 RESTBrowser。因此,他将已知的 CSRFToken 添加到文档对象模型中,从而绕过了 CSRF 对策。到目前为止是正确的吗?
可能的预防措施:
到目前为止,我不知道如何防止攻击者创建和发布这样的恶意移动应用程序,以及防止通过恶意移动应用程序访问服务。我知道User-Agent标头的存在,并且该服务可以使用此信息拒绝来自特定浏览器以外的其他人的请求。但我确信这个标题也可以在 WebView 中进行操作。
在恶意移动应用程序的情况下,针对 CSRF 的有效对策是什么?