Security 是JSON API';通过易受CSRF攻击的标头令牌进行身份验证的?
我试图找到更多关于API CSRF漏洞的信息,我发现的问题是: 问题是,即使在那里,他们也在使用基于浏览器、cookie控制的会话。如果您使用的是在报头中设置的身份验证令牌,这难道不会使所有CSRF问题失效吗 浏览器无法提供身份验证令牌/会话数据,因为浏览器从未获得该数据!Javascript负责提取令牌并进行设置——如果恶意用户可以向Javascript中注入代码,那么您的安全漏洞将比CSRF严重得多 我错过什么了吗Security 是JSON API';通过易受CSRF攻击的标头令牌进行身份验证的?,security,csrf,asp.net-web-api,Security,Csrf,Asp.net Web Api,我试图找到更多关于API CSRF漏洞的信息,我发现的问题是: 问题是,即使在那里,他们也在使用基于浏览器、cookie控制的会话。如果您使用的是在报头中设置的身份验证令牌,这难道不会使所有CSRF问题失效吗 浏览器无法提供身份验证令牌/会话数据,因为浏览器从未获得该数据!Javascript负责提取令牌并进行设置——如果恶意用户可以向Javascript中注入代码,那么您的安全漏洞将比CSRF严重得多 我错过什么了吗