リクエストヘッダーの「Authorization：Bearer」はCSRF攻撃を修正しますか？

このアプローチは実際にCSRF攻撃を防ぐために機能しますか？

はい。攻撃者は、正しいベアラートークンを含む認証ヘッダーを含むリクエストをブラウザーに送信させることはできません。これには2つの理由があります。

• 攻撃者は認証ヘッダーを設定できません。
• 攻撃者はトークンの正しい値を知らないので、トークンに何を設定するかわかりません。

ただし、これはアプリケーションの変更の影響を受けやすい場合があります。たとえば、誰かが認証システムをCookieベースの何かに変更することを決定した場合、そのことにより、CSRF保護を無効にしていることに気付かない可能性があります。

また、必要なヘッダー値が予測可能な場合は、そのヘッダーの設定を許可するCORSポリシーが問題を引き起こす可能性があります。

リンクされたSO質問については、私が受け入れられた回答を理解しているかどうかはわかりません。しかし、 2番目の回答 を見ると、状況はタイプ2であり、タイプ＃1ではありません。

XSS攻撃に対して脆弱である場合、私のCookieが読み取られ、ベアラートークンが盗まれる可能性があります。しかし、挿入されたXSSはAuthorization：Bearerヘッダーを作成し、Cookieから盗んだ値を追加できますか？

ええ、コードを注入できるなら、そうすることができます。

XSSの脆弱性があると、攻撃者はあなたが設定したCSRF保護をバイパスすることができます。したがって、XSSの懸念を実際に使用して、ある形式のCSRF保護を別の形式よりも優先することはできません。XSSに直面しても、それらはすべて無効です。

ここでのわずかな違いは、トークンをヘッダーに入れるためにJSからアクセスする必要があるため、トークンをHTTP専用としてマークできないことです。その結果、XSS攻撃者はそれを盗み、自分のコンピューターからリクエストを簡単に送信できます。認証トークンがHTTPのみの場合、攻撃者は挿入されたコードにリクエストを送信させる必要があります。これは少し面倒ですが不可能ではありません。