JS_025_SAME_ORIGIN_CSRF_FOR_MUTATIONS:
Severity: blocker. Bereich: js.
Regel
(kein Regeltext)
Reflection-Check
check:
applies_when: method in ['POST','PUT','PATCH','DELETE']
fail: Mutation laeuft ohne Credentials-/CSRF-Konzept oder sendet JSON als falschen
Content-Type.
pass: Mutation nutzt credentials same-origin und projektweite CSRF-/Session-Strategie;
Content-Type ist korrekt gesetzt.
remediation: 'Fetch-Wrapper erzwingt credentials: ''same-origin'' und fuegt CSRF-Token/Header
hinzu, wenn Projekt es verwendet.'
type: api_clientEvidence
- MDN_FETCH, MDN: Using the Fetch API
- OWASP_XSS, OWASP Cross Site Scripting Prevention Cheat Sheet