Nous avons évoqué précédemment le problÚme de confiance lié au resource linking en général.
Un client (browser ou autre) communique généralement avec plusieurs APIs.
Une rĂ©ponse malicieuse ou simplement maladroite dâune API pourrait pousser le client Ă forger une requĂȘte vers une autre API en envoyer le token dâauthentification ou encore dâautres informations confidentielles.
{"firstName": "Foo","address": {"href": "https://api.attacker.com/"}}
Il est possible de se protéger partiellement avec des rÚgles C.S.P. (Content Security Policy) connect-src
https://w3c.github.io/webappsec-csp/â
Autrement, il est recommandĂ© dâimplĂ©menter ou dâutiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet dâURLs absolues bien quâune URL relative puisse ĂȘtre Ă©galement malicieuse.