C.S.R.F. & "Resource Linking"

Nous avons évoqué précédemment le problème de confiance lié au resource linking en général.

Un client (browser ou autre) communique généralement avec plusieurs APIs.

Une réponse malicieuse ou simplement maladroite d’une API pourrait pousser le client à forger une requête vers une autre API en envoyer le token d’authentification ou encore d’autres informations confidentielles.

{
    "firstName": "Foo",
    "address": {
        "href": "https://api.attacker.com/"
    }
}

Il est possible de se protéger partiellement avec des règles C.S.P. (Content Security Policy) connect-src https://w3c.github.io/webappsec-csp/

Autrement, il est recommandé d’implémenter ou d’utiliser une librairie HTTP robuste avec des whitelists strictes ou le rejet d’URLs absolues bien qu’une URL relative puisse être également malicieuse.