JSON WebサービスはCSRF攻撃に対して脆弱ですか？

リクエストとレスポンスのコンテンツにJSONのみを使用する（つまり、フォームでエンコードされたペイロードを使用しない）Webサービスを構築しています。

次の場合、WebサービスはCSRF攻撃に対して脆弱ですか？

1. どれでもPOSTトップレベルのJSONオブジェクトのない要求は、例えば、{"foo":"bar"}たとえば、400で拒否されますが、POST内容の要求は42これ拒否されるだろう。

2. 任意POST以外のコンテンツ・タイプの要求application/json例えば400で拒否されますが、POSTコンテンツタイプの要求はapplication/x-www-form-urlencoded、したがって拒否されるであろう。

3. すべてのGETリクエストは安全であるため、サーバー側のデータは変更されません。

4. クライアントはセッションCookieを介して認証されます{"username":"user@example.com", "password":"my password"}。これは、JSONデータを使用したPOSTを介して正しいユーザー名とパスワードのペアを提供した後にWebサービスがクライアントに提供します。

補助的な質問：CSRFに対して脆弱なものはPUTありDELETEますか？ほとんどの（すべて？）ブラウザがHTMLフォームでこれらのメソッドを許可していないように思われるので、私は尋ねます。

編集：アイテム＃4を追加しました。

編集：これまでのところ多くの良いコメントと回答がありますが、このWebサービスが脆弱な特定のCSRF攻撃を提供した人は誰もいません。

任意のメディアタイプで任意CSRF要求を鍛造するため、XHRと効果的にのみ可能であるフォームの方法は、GETおよびPOSTに限定されるとフォームのPOSTメッセージボディはまた3つの形式に制限されapplication/x-www-form-urlencoded、multipart/form-dataおよびtext/plain。ただし、フォームデータエンコーディングを使用すると、text/plain有効なJSONデータを含むリクエストを偽造することができます。

したがって、唯一の脅威はXHRベースのCSRF攻撃です。そして、それらが同じ起源からのものである場合にのみ成功するので、基本的にはあなた自身のサイト（例えばXSS）からのものです。CORSの無効化（つまり、Access-Control-Allow-Origin：*を設定しない）を保護と間違えないように注意してください。CORSは、クライアントが応答を読み取れないようにするだけです。リクエスト全体が引き続き送信され、サーバーによって処理されます。

はい、可能です。ターゲットサーバーへの307リダイレクトを被害者のマシンに送り返す攻撃者サーバーをセットアップできます。フォームを使用する代わりに、フラッシュを使用してPOSTを送信する必要があります。

参照：https：//bugzilla.mozilla.org/show_bug.cgi？id = 1436241

Chromeでも動作します。

Ajaxを使用して、JSONベースのRestfulサービスでCSRFを実行することができます。私はこれをアプリケーションでテストしました（ChromeとFirefoxの両方を使用）。プリフライトリクエストを回避するには、contentTypeをtext / plainに、dataTypeをJSONに変更する必要があります。次に、リクエストを送信できますが、セッションデータを送信するには、ajaxリクエストでwithCredentialsフラグを設定する必要があります。これについては、ここで詳しく説明します（参照が含まれています）。

http://wsecblog.blogspot.be/2016/03/csrf-with-json-post-via-ajax.html

ポイント3については疑問があります。サーバー側のデータを変更しないので安全とは言えますが、データの読み取りは可能であり、盗難の恐れがあります。

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx/

次の場合、WebサービスはCSRF攻撃に対して脆弱ですか？

はい。それはまだHTTPです。

PUTおよびDELETEリクエストはCSRFに対して脆弱ですか？

はい

ほとんどの（すべて？）ブラウザは、HTMLフォームでこれらのメソッドを許可していないようです

ブラウザがHTTPリクエストを行う唯一の方法だと思いますか？