我读了很多书:
- https://github.com/pillarjs/understanding-csrf
- https://security.stackexchange.com/questions/10227/csrf-with-json-post
- Are JSON web services vulnerable to CSRF attacks?
- (ApolloServer 站点上没有任何内容: https://www.apollographql.com/docs/apollo-server/ )
但是,我尚无法了解我们的端点(“/graphql”)是否受到此类攻击的保护,或者是否有必要使用如下解决方案来保护它:https://github.com/expressjs/csurf .
我不清楚的是:https://github.com/pillarjs/understanding-csrf他们说:
When you're using CSRF tokens incorrectly: ... Adding them to JSON AJAX calls As noted above, if you do not support CORS and your APIs are strictly JSON, there is absolutely no point in adding CSRF tokens to your AJAX calls.
如果我们限制端点仅使用 Content-Type: application/json 我们安全吗?
最佳答案
If we restrict our endpoint to just use Content-Type: application/json are we safe?
JSON 不能免受 CSRF 攻击(但需要攻击者做一些额外的工作),并且扩展而言,如果配置不正确,GraphQL 也不会受到 CSRF 攻击。如果将其分解为请求/响应,则 CSRF 的常见场景将适用于此处:
- 受害者使用您的 GraphQL Web 服务进行身份验证。
- 攻击者向受害者发送恶意链接。
- 受害者点击链接并访问攻击者的恶意网站。
- 攻击者的网站使用受害者 cookie 发送 JSON 请求。
- Web 服务接收带有有效 session token /cookie 的 JSON 请求,并且受害者在不知情的情况下运行功能。
在这种情况下,您的服务容易受到 CSRF 的攻击。确保 CORS 配置为仅允许来自受信任域白名单的请求,并确保 CSRF token 正在使用。实现多重保护将降低成功攻击的风险。
以下链接提供了更详细的信息,您甚至可以自己尝试一下: https://blog.appsecco.com/exploiting-csrf-on-json-endpoints-with-flash-and-redirects-681d4ad6b31b
关于security - GraphQL 和 CSRF 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52060784/