Comment on page
C.S.R.F. & "Resource Linking"
Un client (browser ou autre) communique généralement avec plusieurs APIs.
Une réponse malicieuse ou simplement maladroite d’une API pourrait pousser le client à forger une requête vers une autre API en envoyer le token d’authentification ou encore d’autres informations confidentielles.
{
"firstName": "Foo",
"address": {
"href": "https://api.attacker.com/"
}
}
Il est possible de se protéger partiellement avec des règles C.S.P. (Content Security Policy)
connect-src
https://w3c.github.io/webappsec-csp/Autrement, il est recommandé d’implémenter ou d’utiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet d’URLs absolues bien qu’une URL relative puisse être également malicieuse.
Dernière mise à jour 4yr ago