Proteção CSRF com codeigniter

5

Eu tenho muito pouco conhecimento em segurança de aplicativos. Tenho visto muitas vezes para proteger seu aplicativo de ataques de csrf desenvolvedores usam tokens e passar esses tokens com pedido para validar. Eu quero saber se eu apenas validar o pedido está vindo do meu servidor e rejeita todas as solicitações provenientes de qualquer outro servidor, como pode ser inseguro?

    
por Shayan Husaini 12.07.2012 / 13:27
fonte

1 resposta

4

Você não pode saber de onde a solicitação está vindo, com certeza. Claro, você pode verificar o HTTP referer , mas isso também tem implicações.

Muitos usuários configuraram seus navegadores para não fornecerem o servidor ao referenciador, para que você receba dados de lixo. Se você não permitir referências vazias, bloqueará muitas solicitações legítimas. Se você permitir referenciadores vazios, todos aqueles que configuraram o navegador para não enviar o referenciador poderão ser vítimas do CSRF.

Portanto, rejeitar pedidos com base nisto não o levará a nada.

Edit: chama-se 'HTTP referer', um erro de ortografia da palavra referenciador.

    
por 12.07.2012 / 15:35
fonte