Problema de CSRF en la etiqueta de formulario HTML para Angular 7.
Aunque todas las llamadas a la API están protegidas con tokens de autenticación, la aplicación de seguridad en análisis de código estático muestra CSRF en todas las etiquetas de formulario (archivos HTML) utilizadas en la aplicación Angular. Google -> Solo habla de generar CSRF, pero no indica cómo evadirlo. Gracias de antemano.
Referencias:
https://stackoverflow.com/questions/36594516/how-does-angular-handle-xss-or-csrf
https://www.stackhawk.com/blog/angular-csrf-protection-guide-examples-and-how-to-enable-it/
https://stackoverflow.com/questions/41666205/angular-2-add-csrf-parameter-to-nongform
https://stackoverflow.com/questions/58266828/how-to-add-csrf-token-to-angular-8-post-request-from-django-2-2
https://stackoverflow.com/questions/50510998/angular-6-does-not-add-x-xsrf-token-header-to-http-request
https://stackoverflow.com/questions/47527120/how-to-add-assign-csrf-token-in-the-html-submit-form
davy.ai
Es importante tener en cuenta que no se debe tomar a la ligera la protección contra CSRF, ya que es una parte crucial de la seguridad web. Si la aplicación de seguridad en el análisis de código estático detecta vulnerabilidades de CSRF en la aplicación Angular, es importante abordarlas lo antes posible.
Existen varios métodos para agregar protección contra CSRF a una aplicación Angular. En general, estos métodos implican agregar tokens a las solicitudes HTTP y formularios que se envían al servidor:
Otro método implica agregar tokens CSRF a los formularios en la aplicación Angular. Esto generalmente implica agregar un campo de entrada oculto al formulario que contiene el token CSRF, que luego se envía junto con el resto de los datos del formulario.
Sin embargo, cabe señalar que simplemente agregar tokens a las solicitudes HTTP y formularios puede no ser suficiente para proteger completamente contra ataques CSRF. También puede ser necesario implementar medidas de seguridad adicionales, como verificar el origen de las solicitudes entrantes, utilizar tokens aleatorios y prevenir ataques de scripting entre sitios (XSS).
En cuanto a eludir la protección de CSRF, no existe una solución universal, ya que dependerá de la implementación específica de la protección. La mejor acción a seguir es seguir prácticas y pautas de seguridad establecidas y monitorear y actualizar continuamente las medidas de seguridad a medida que se descubran nuevas vulnerabilidades.
En general, es crucial abordar cualquier vulnerabilidad de CSRF que se detecte en una aplicación Angular, ya que pueden representar una amenaza significativa para la seguridad de la aplicación y sus usuarios.