CORS和CSRF(XSRF)
这可能是一个非常简单的问题。我只是想确保我正确理解它:CORS和CSRF(XSRF),cors,csrf,Cors,Csrf,这可能是一个非常简单的问题。我只是想确保我正确理解它: 如果我在我的web服务器上禁用CORS,我将受到CSRF(XSRF)攻击的保护。这是正确的假设吗?肯定不是。CSRF的攻击向量更可能是非XHR请求(常规GET和POST),而这不受CORS的影响。您需要检查您的URL以了解它们允许的请求类型,并相应地进行保护。如果您可以确定正在使用CORS,那么CORS实际上会使它更安全。有关这方面的更多信息,我建议阅读我关于该主题的其他答案之一:
如果我在我的web服务器上禁用CORS,我将受到CSRF(XSRF)攻击的保护。这是正确的假设吗?肯定不是。CSRF的攻击向量更可能是非XHR请求(常规GET和POST),而这不受CORS的影响。您需要检查您的URL以了解它们允许的请求类型,并相应地进行保护。如果您可以确定正在使用CORS,那么CORS实际上会使它更安全。有关这方面的更多信息,我建议阅读我关于该主题的其他答案之一: