C.S.R.F. & "Resource Linking"

Nous avons évoqué précédemment le problÚme de confiance lié au resource linking en général.

Un client (browser ou autre) communique généralement avec plusieurs APIs.

Une rĂ©ponse malicieuse ou simplement maladroite d’une API pourrait pousser le client Ă  forger une requĂȘte vers une autre API en envoyer le token d’authentification ou encore d’autres informations confidentielles.

{
"firstName": "Foo",
"address": {
"href": "https://api.attacker.com/"
}
}

Il est possible de se protĂ©ger partiellement avec des rĂšgles C.S.P. (Content Security Policy) connect-src https://w3c.github.io/webappsec-csp/​

Autrement, il est recommandĂ© d’implĂ©menter ou d’utiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet d’URLs absolues bien qu’une URL relative puisse ĂȘtre Ă©galement malicieuse.