GraphQLエンドポイントにCSRF脆弱性があることが、あるラボで確認されました。
このエンドポイントは「application/x-www-form_urlencoded」コンテンツタイプを受け入れるように設定されており、Cookieやブラウザ開発者が使用するその他のデータタイプといったセキュリティ機能が侵害される可能性があります。
この脆弱性は、外部ウェブサイトから認証なしでHTTPリクエストを受信するGraphQLエンドポイントで発見されました。
HTTPリクエストがHTTPヘッダー経由で送信される場合や、その他の方法で暗号化されている場合にも、この脆弱性が存在します。
エンドポイントを悪用したCSRFは許可されません。
コメント