מניעת CSRF – Cross Site Request Forgery בפיתוח מערכות ASP.NET מבוססות AJAX

יום רביעי, יוני 17, 2015

רבות מן המערכות המפותחות היום מבוססות AJAX, הפעולות שמבצע המשתמש בשכבת הUI מבצעות קריאות ובקשות לצד השרת ע"י Ajax, הטכנולוגיה הנפוצה היום לבצע זאת היא Web API, לצד דרכים נוספות. שימוש בAJAX מאפשר למסך להציג נתונים ולמשתמש לבצע פעולות ללא ביצוע טעינה מחדש של כל הדף, שליחה של חלק מהנתונים לשרת וללא Refresh, בקיצור – יעילות, חווית משתמש טובה והפרדה בין צד הClient לצד השרת. אחת הבעיות שנובעות מדרך עבודה זו היא היכולת לבצע Cross site request forgery ובמילים אחרות, מאפשרת לגורם A ללא הרשאות לגרום לגורם B – משתמש בעל הרשאות בצע פעולות במערכת מבלי שהתכוון או ידע...
תגיות:
אין תגובות