加入收藏 | 设为首页 | 会员中心 | 我要投稿 李大同 (https://www.lidatong.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 百科 > 正文

“AJAX”只需要一个CSRF令牌 – 只有“application / json” –

发布时间:2020-12-16 02:47:19 所属栏目:百科 来源:网络整理
导读:如果我理解正确,如果你只允许 JSON作为来自“AJAX”(真正的AJAJ for JSON)形式的application / json,那么就不需要CSRF令牌,对吧? 如果有人试图使用一些漂亮的POST-to-iFrame hack从另一个页面发布到表单,那么它将是application / x-www-form-urlencoded,你
如果我理解正确,如果你只允许 JSON作为来自“AJAX”(真正的AJAJ for JSON)形式的application / json,那么就不需要CSRF令牌,对吧?

如果有人试图使用一些漂亮的POST-to-iFrame hack从另一个页面发布到表单,那么它将是application / x-www-form-urlencoded,你可以立即将其丢弃.

如果有人试图使用AJAJ发布到表单,只有OPTIONS具有允许它的CORS头时才会成功.

结论:除非你使用CORS,否则当你使用application / json而不是application / x-www-form-urlencoded时,你就可以安全地使用CSR.

我不考虑任何矛盾?

解决方法

看看这个 Sec.SE question and answer.简而言之:你是正确的(现在),但依靠这种行为可能不是一个好主意,所以无论如何都要使用令牌.

(编辑:李大同)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
        站长推荐
        热点阅读

          【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

          建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

          Copygight © 2008-2022 https://www.lidatong.com.cn/ All Rights Reserved. 李大同