Le Guide API ReST | Marmicode
👨🏻‍🍳 Marmicode.fr👨🏻‍💻 Consulting & Code Review✉️ Help!
Rechercher…
Le Guide API ReST par Marmicode
API ReST
Conventions & Bonnes Pratiques
Les Outils
Sécurité des APIs ReST
OWASP Top 10
Authentification et Session Management
Autorisation et Gestion des Permissions
Validation, Canonicalization, Escaping & Sanitization
Cookies are EVIL
C.O.R.S.
C.S.R.F.
C.S.R.F. & Media Type
C.S.R.F. Mitigation
C.S.R.F. & "Resource Linking"
J.O.S.E.
J.W.T.
OAuth 2
OpenID Connect
Autres Spécifications
Quelques Liens & Ressources
Stay Tuned
📝Blog
🐦Twitter
📬Newsletter
Propulsé par GitBook
C.S.R.F. & "Resource Linking"
Nous avons évoqué précédemment le problème de confiance lié au resource linking en général.
Un client (browser ou autre) communique généralement avec plusieurs APIs.
Une réponse malicieuse ou simplement maladroite d’une API pourrait pousser le client à forger une requête vers une autre API en envoyer le token d’authentification ou encore d’autres informations confidentielles.
1
{
2
"firstName": "Foo",
3
"address": {
4
"href": "https://api.attacker.com/"
5
}
6
}
Copied!
Il est possible de se protéger partiellement avec des règles C.S.P. (Content Security Policy) connect-src https://w3c.github.io/webappsec-csp/
Autrement, il est recommandé d’implémenter ou d’utiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet d’URLs absolues bien qu’une URL relative puisse être également malicieuse.
Précédent
C.S.R.F. Mitigation
Suivant
J.O.S.E.
Dernière mise à jour 3yr ago
Copier le lien