A CSRF und Webservices
Webservices können, genau wie Webanwendungen, per Cross-Site Request Forgery angegriffen werden. Das in Kapitel 8 als Lösung vorgestellte Anti-CSRF-Token soll in einer reinen Webservice-Umgebung jedoch oft nicht verwendet werden. Technisch wäre das problemlos möglich, allerdings muss zum Erhalt dieses Tokens ja zuerst ein Aufruf an eine spezielle Webservice-Methode erfolgen, bevor die eigentlich gewünschte Webservice-Operation aufgerufen werden kann. Der Webservice wäre auf Serverseite durch die Speicherung des Tokens in der Session damit nicht mehr zustandslos, schließlich ist ja nun eine Session vorhanden. Außerdem muss vom Client strikt die Aufrufreihenfolge »Token vor gewünschter Operation« eingehalten werden. Vor allem ...
Get Java-Web-Security now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
