나는 특히 로그인 폼에 대해 생각하고 있습니다 :때때로 CSRF 보호 기능을 비활성화 할 수 있습니까?
본질적으로 로그인 양식은 임의의 입력에 대한 조치를 차단합니다. 유효한 사용자 이름과 비밀번호가 없으면 방금 반송됩니다. 이들이 심지어 authenticity_token
또는 이와 유사한 사이트 간 요청 위조 보호 기능을 추가로 필요로하는 이유가 있습니까? 익명 클라이언트 감안할 때
, 그것은 허용되어야 사이트와의 접촉의 첫 번째 점은 유효한 로그인 자격 증명을 POST하는 것입니다 :
나는 로그인 폼이 CSRF도 일반적으로 바람직하지 않을 수있는 하나의 예 경우 궁금 . CSRF는 먼저 클라이언트가 authenticity_token의 기초로 사용되는 익명의 세션 쿠키를 설정하기 위해 GET을 수행하도록 요구함으로써 이러한 직접적인 상호 작용을 방지합니다. 토큰은 로그인 자격 증명으로 다시 게시되어야합니다. 실제 목표는 세션없이 도착한 사용자를 인증하고 자격 증명을 제공하려고 할 때 추가 사전 단계가 중요하지 않은 것처럼 보입니다.
이 시나리오에서 보안 고려 사항이 누락 되었습니까?
링크를 제공해 주셔서 감사합니다. 웹 서비스 API는 클라이언트가 자격 증명을 제출하기 전에 먼저 로그인 페이지를 가져야하지 않아도되는 합리적인 장소라고 생각합니다. –
웹 서비스이고 미래의 요청에 대한 응답을 토큰으로 보내면 (쿠키를 설정하지 않음) 문제가되어서는 안되며, 이는 사용자에게 부작용을 유발하지 않기 때문입니다. – Gelatin