Twitterのような、外部WebサイトからTwitter社のAPIを実行する場合があるケースのCSRF対策

聞きたいこと

Twitter社は、Tweetボタンを外部サイトに設置することができるようなサービスを提供していると思います。

このようなサービスのAPIのCSRF対策ってどの様になっているのか、自分なりに考えたので合っているかアドバイスいただきたいです。
(もちろんTwitter内部の方でないと正確なところはわかりませんが、、)

確認したい内容

CSRF対策としてまず挙がる特定オリジンからのリクエストのみを許可するような設定はしていない
→ つまりすべてのオリジンからのリクエストはAPIサーバーは受け付ける
ユーザーがログインした際に、トークンをAPIサーバーからブラウザにわたし、そのトークンをもとに悪意のあるリクエストか否かをチェックしている

行動規範の内容に同意します

回答1件

ベストアンサー

APIでもCSRF対策が必要になる場合がありますが、それはクッキーでセッション維持している場合で、Twitter APIのようにカスタムヘッダ（Authorizationヘッダ等）により認証する場合は、原理的にCSRFの危険はなく、対策も必要ありません。

投稿2020/12/10 09:12

ockeghem

総合スコア11705

退会済みユーザー

2020/12/11 04:57 編集

なるほど、解答いただきありがとうございます。 > それはクッキーでセッション維持している場合で、たしかにそうですね。クッキーにセッション情報が保存されていれば、APIへのリクエスト送信時にも自動で気にセッション情報が送信され、悪意のある書き込み等されてしまうということですよね。追加の質問となってしまうのですが、カスタムヘッダ(Authorizationヘッダ)にて認証する場合、認証トークンのようなものをカスタムヘッダに付与していると思うのですが、そのトークンの保存先ってどこにすべきなのでしょうか。この質問の追加としてすべきでない質問でしたら、別の質問を作りたいと思います。

行動規範の内容に同意します