Añadir Protección ante CSRF

Los ataques Cross-Site Request Forgery (CSRF) pueden evitarse si activamos el filtro CsrfProtectionFilter en la parte servidor del servicio Rest.

Para activar el filtro CsrfProtectionFilter en la parte servidor, tenemos que añadir la siguiente configuración en el fichero web.xml:

      <context-param>
          <param-name>com.sun.jersey.spi.container.ContainerRequestFilters</param-name>
          <param-value>com.sun.jersey.api.container.filter.CsrfProtectionFilter</param-value>
      </context-param>

Para activar el filtro CsrfProtectionFilter y que en las peticiones se añada automaticamente la cabecera X-Requested-By.

Para añadir el filtro a todos los recursos creados por el generador de clientes.

    String requestByValue = ...;
    ClientFilter csrfFilter = new com.sun.jersey.api.client.filter.CsrfProtectionFilter( requestByValue );
    Client c = Client.create();
    c.addFilter( csrfFilter );
    ...

Para añadir el filtro a un recurso concreto generado por el generador de clientes.

    String requestByValue = ...;
    ClientFilter csrfFilter = new com.sun.jersey.api.client.filter.CsrfProtectionFilter( requestByValue );
    Client c = Client.create();
    WebResource r = c.resource(...);
    r.addFilter( csrfFilter );
    ...

• CsrfProtectionFilter
• Guidelines for Implementation of REST by NSA (section IV.F)
• REST protection to CSRF Attaks
• Jersey 1.19 - Client API
• Jersey and Cross-Site Request Forgery (CSRF)
• Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet

— JUAN MIGUEL BERNAL GONZALEZ 25/10/2018 12:20