Entrar Ainda não tem acesso?
1
resposta

[Dúvida] # Dúvida ##

Referente ao curso Segurança com ASP.NET Core: proteja aplicações Web, no capítulo ASP.NET Core Identity e atividade Protegendo contra CSRF

por LEANDRO RAMOS SANTOS
| 165.6k xp | 42 posts
Desenvolvedor

essa configuração antiForkey CRSF, mesmo em um front desaclopado tipo em react não impacta na requisição do front?

1 resposta
por Renan Lima
| 4180.7k xp | 8895 posts
Alura Scuba Team Apoio Educacional - Alura

Olá, Leandro. Tudo bem?

A proteção contra CSRF (Cross-Site Request Forgery) é essencial para garantir que as requisições feitas para o seu servidor sejam legítimas. Quando temos um front-end desacoplado, como no caso do React, a configuração do anti-forgery pode impactar as requisições, mas é possível gerenciar isso.

Para que a proteção CSRF funcione corretamente com um front-end em React, você precisará garantir que o token CSRF seja incluído nas requisições que o front-end faz para o back-end. Aqui estão algumas dicas de como você pode fazer isso:

  1. Obtenção do Token CSRF: Quando o usuário acessa a aplicação, você pode fazer uma requisição inicial para o servidor para obter o token CSRF. O servidor pode enviar esse token como parte de uma resposta, geralmente no cabeçalho ou em um cookie.

  2. Incluir o Token nas Requisições: No seu front-end React, ao fazer requisições POST, PUT, DELETE, etc., você deve incluir o token CSRF no cabeçalho da requisição. Por exemplo, se o seu token CSRF está em um cookie, você pode recuperá-lo e adicioná-lo ao cabeçalho da requisição como X-CSRF-TOKEN.

  3. Configuração no Back-end: O ASP.NET Core precisa estar configurado para validar o token CSRF que você está enviando. Isso geralmente é feito através do middleware antiforgery e da anotação [ValidateAntiForgeryToken] nos seus controllers.

Aqui está um exemplo de como você pode configurar isso no React:

// Supondo que você tenha o token CSRF armazenado em um cookie
const csrfToken = document.cookie.split('; ').find(row => row.startsWith('VollMed.AntiForgery=')).split('=')[1];

fetch('https://seuservidor.com/api/resource', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-TOKEN': csrfToken
  },
  body: JSON.stringify({ /* seus dados aqui */ })
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Erro:', error));

Lembre-se de que a segurança é um aspecto crítico, e é sempre bom testar suas implementações em diferentes cenários para garantir que tudo está funcionando conforme o esperado.

Espero ter ajudado e bons estudos.

Caso este post tenha lhe ajudado, por favor, marcar como solucionado ✓.Bons Estudos!