我正在努力将我的Node.js应用程序部署到生产环境中.我们遇到了一些CSRF问题,但在深入研究问题并了解CSRF攻击后,我想知道我们是否需要执行这些检查.
我们的API通过CSRF检查列入白名单,因此我们依赖API的移动应用程序可以正常运行(我们正在努力确保当前的安全).在Web前端,我们允许用户注册/登录并创建/编辑他们的数据.我们使用Firebase的电子邮件/密码身份验证系统来执行身份验证(https://firebase.google.com/docs/auth/web/password-auth).据我了解,这意味着我们不必担心CSRF对注册和登录的攻击,因为Firebase会对此进行处理.我的问题是:如果我们确保我们的用户在我们的应用程序中的每个邮政路线上使用Firebase进行身份验证,这是否意味着我们不必担心CSRF攻击?
security authentication csrf node.js firebase-authentication