Javascript GET请求的CSRF保护

我有一个RESTful API，可以通过我创建的网站与之交互。我有充分保护的POST、DELETE、PUT等请求，因此攻击者无法通过CSRF对数据库进行任何更改

但是，如果有人使用CSRF向网站发出GET请求，我担心他们可能会查看响应，这可能会泄露存储在数据库中的敏感数据

他们是否可以查看对跨站点GET请求的响应，或者这完全由Javascript的同源策略负责

Javascript的同源策略是否完全解决了这一问题

对。这就是同一原产地政策的要点

要易受攻击，您需要：

• 使用类似JSONP或CORS或
• 不执行用户身份验证，这样他们就可以访问数据，而不需要将经过身份验证的用户的浏览器作为中间人

---

检查并不能真正回答我的问题。我不在GET请求中使用CSRF令牌，因为它们破坏了我网站的功能。例如，用户不能为他们经常返回的特定结果页面添加书签，也不能同时在多个选项卡中浏览网站，这对于我的用例至关重要。