如果我理解正确,如果你只允许
JSON作为来自“AJAX”(真正的AJAJ for JSON)形式的application / json,那么就不需要CSRF令牌,对吧?
如果有人试图使用一些漂亮的POST-to-iFrame hack从另一个页面发布到表单,那么它将是application / x-www-form-urlencoded,你可以立即将其丢弃.
如果有人试图使用AJAJ发布到表单,只有OPTIONS具有允许它的CORS头时才会成功.
结论:除非你使用CORS,否则当你使用application / json而不是application / x-www-form-urlencoded时,你就可以安全地使用CSR.
我不考虑任何矛盾?
解决方法
看看这个
Sec.SE question and answer.简而言之:你是正确的(现在),但依靠这种行为可能不是一个好主意,所以无论如何都要使用令牌.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
