Le Guide API ReST | Marmicode
Le Guide API ReST | Marmicode
đŸ‘šđŸ»â€đŸł Marmicode.fr
đŸ‘šđŸ»â€đŸ’» Consulting & Code Review
✉ Help!
Le Guide API Rest par Marmicode
API ReST
Conventions & Bonnes Pratiques
Les "Standards" ou Presque
Les Outils
Sécurité des APIs ReST
OWASP Top 10
Authentification et Session Management
Autorisation et Gestion des Permissions
Validation : Canonicalization, Escaping & Sanitization
Cookies are EVIL
C.O.R.S.
C.S.R.F.
C.S.R.F. & Media Type
C.S.R.F. Mitigation
C.S.R.F. & "Resource Linking"
J.O.S.E.
J.W.T.
OAuth 2
OpenID Connect
Quelques Liens & Ressources
Stay Tuned
📝Blog
🐩Twitter
📬Newsletter
Propulsé par GitBook

C.S.R.F. & "Resource Linking"

Nous avons évoqué précédemment le problÚme de confiance lié au resource linking en général.

Un client (browser ou autre) communique généralement avec plusieurs APIs.

Une rĂ©ponse malicieuse ou simplement maladroite d’une API pourrait pousser le client Ă  forger une requĂȘte vers une autre API en envoyer le token d’authentification ou encore d’autres informations confidentielles.

{
    "firstName": "Foo",
    "address": {
        "href": "https://api.attacker.com/"
    }
}

Il est possible de se protĂ©ger partiellement avec des rĂšgles C.S.P. (Content Security Policy) connect-src https://w3c.github.io/webappsec-csp/​

Autrement, il est recommandĂ© d’implĂ©menter ou d’utiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet d’URLs absolues bien qu’une URL relative puisse ĂȘtre Ă©galement malicieuse.

Précédent
C.S.R.F. Mitigation
Suivant
J.O.S.E.
DerniĂšre mise Ă  jour 1 year ago