1. Repositório Institucional da Universidade Tecnológica Federal do Paraná (RIUT)
  2. GRAD - Cursos de Graduação
  3. TCC - Trabalhos de Conclusão de Curso de Graduação
  4. Santa Helena
  5. SH - Ciência da Computação
Use este identificador para citar ou linkar para este item: http://repositorio.utfpr.edu.br/jspui/handle/1/38125
Título: Avaliação de estratégias de mitigação contra CSRF e XSS em APIs RESTful: implementação, testes e análise comparativa de desempenho e segurança
Título(s) alternativo(s): Evaluation of mitigation strategies against CSRF and XSS in RESTful APIs: implementation, testing, and comparative analysis of perfamance and security
Autor(es): Ferreira, Leonardo de Souza
Orientador(es): Brilhador, Anderson
Palavras-chave: Serviços da Web
Computadores - Medidas de segurança
Firewalls (Medidas de segurança para computadores)
Web services
Computer security
Firewalls (Computer security)
Data do documento: 27-Jun-2025
Editor: Universidade Tecnológica Federal do Paraná
Câmpus: Santa Helena
Citação: FERREIRA, Leonardo de Souza. Avaliação de estratégias de mitigação contra CSRF e XSS em APIs RESTful: implementação, testes e análise comparativa de desempenho e segurança. 2025. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Computação) - Universidade Tecnológica Federal do Paraná, Santa Helena, 2025.
Resumo: Este trabalho investiga a eficácia de diferentes estratégias de mitigação contra ataques CSRF ( Cross-Site Request Forgery - Falsificação de Requisição entre Sites) e XSS ( Cross-Site Scripting - Script entre Sites) no contexto de APIs ( Application Programming Interface - Interface de Programação de Aplicações) que seguem o estilo arquitetural REST ( Representational State Transfer - Transferência Representacional de Estado). A pesquisa adota uma abordagem experimental aplicada, envolvendo o desenvolvimento de uma API com autenticação baseada em JWT (JSON Web Token - Token Web em Formato JSON), seguida da implementação progressiva de mecanismos de segurança, como tokens anti-CSRF, cookies com atributo SameSite , validação de cabeçalhos HTTP ( Hypertext Transfer Protocol - Protocolo de Transferência de Hipertexto) (Origin/Referer), CSP ( Content Security Policy - Política de Segurança de Conteúdo) e sanitização de entrada. Foram conduzidos testes em ambiente controlado utilizando o Burp Suite e ferramentas de carga automatizada, com análise de métricas como tempo médio de resposta e consumo de CPU ( Central Processing Unit - Unidade Central de Processamento). Os resultados demonstram que a combinação de estratégias é significativamente mais eficaz na prevenção de ataques CSRF do que o uso isolado de qualquer técnica, e que a aplicação de CSP, associada à sanitização, reduz a superfície de exposição a XSS com impacto mínimo no desempenho. Adicionalmente, foi realizada uma análise complementar sobre o impacto conjunto das proteções de CSRF e XSS no tempo de processamento de requisições legítimas, confirmando que a sobreposição das defesas não compromete a responsividade da API. O estudo contribui com dados experimentais e recomendações práticas para o fortalecimento da segurança em APIs web
Abstract: This study experimentally evaluates the effectiveness of various mitigation strategies against Cross-Site Request Forgery (CSRF) and Cross-Site Scripting (XSS) attacks in RESTful APIs. A JWT-authenticated API was developed, followed by the progressive implementation of security mechanisms: anti-CSRF tokens, SameSite cookies, HTTP Origin/Referer header validation, Content Security Policy (CSP), and input sanitization. Controlled testing using Burp Suite and automated load tools measured performance metrics such as average response time and CPU consumption. Results demonstrate that combining strategies is significantly more effective at preventing CSRF than any single technique. Additionally, the combination of CSP and input sanitization effectively neutralizes XSS payloads with minimal performance impact. A complementary evaluation of processing time showed that applying CSRF and XSS protections simultaneously caused only a negligible increase in response latency, without compromising legitimate request handling. The research provides experimental data and practical recommendations for hardening web API security
URI: http://repositorio.utfpr.edu.br/jspui/handle/1/38125
Aparece nas coleções:SH - Ciência da Computação

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
estrategiasmitigacaocrsfxss.pdf1,04 MBAdobe PDFThumbnail
Visualizar/Abrir
Mostrar registro completo do item Recomendar este item Visualizar estatísticas


Este item está licenciada sob uma Licença Creative Commons Creative Commons