Javascript GET请求的CSRF保护
我有一个RESTful API,可以通过我创建的网站与之交互。我有充分保护的POST、DELETE、PUT等请求,因此攻击者无法通过CSRF对数据库进行任何更改 但是,如果有人使用CSRF向网站发出GET请求,我担心他们可能会查看响应,这可能会泄露存储在数据库中的敏感数据 他们是否可以查看对跨站点GET请求的响应,或者这完全由Javascript的同源策略负责 Javascript的同源策略是否完全解决了这一问题 对。这就是同一原产地政策的要点 要易受攻击,您需要:Javascript GET请求的CSRF保护,javascript,csrf,same-origin-policy,Javascript,Csrf,Same Origin Policy,我有一个RESTful API,可以通过我创建的网站与之交互。我有充分保护的POST、DELETE、PUT等请求,因此攻击者无法通过CSRF对数据库进行任何更改 但是,如果有人使用CSRF向网站发出GET请求,我担心他们可能会查看响应,这可能会泄露存储在数据库中的敏感数据 他们是否可以查看对跨站点GET请求的响应,或者这完全由Javascript的同源策略负责 Javascript的同源策略是否完全解决了这一问题 对。这就是同一原产地政策的要点 要易受攻击,您需要: 使用类似JSONP或COR
- 使用类似JSONP或CORS或
- 不执行用户身份验证,这样他们就可以访问数据,而不需要将经过身份验证的用户的浏览器作为中间人