SEC_002_CSRF_FOR_STATE_CHANGE: Zustandsaenderungen brauchen CSRF-Schutz
Severity: must. Bereich: security.
Regel
POST, PUT, PATCH und DELETE aus Browser-Kontexten MUESSEN CSRF-Schutz oder einen gleichwertigen Schutzmechanismus besitzen.
Reflection-Check
check:
reflect:
fields:
- csrf_required
object: route_securityEvidence
- OWASP_CSRF, OWASP Cross-Site Request Forgery Prevention Cheat Sheet
- OWASP_ASVS, OWASP Application Security Verification Standard