Может ли почтовый запрос с параметрами URL быть взломан csrf?
Если на стороне сервера есть только защита «Потребляет приложение/json».
Использование HTTPS.
Если у вас есть соответствующая ссылка, пожалуйста, поделитесь ею.
Может ли почтовый запрос с параметрами URL быть взломан csrf?
comment
да. Оно может. См. этот поток
- person Maruthi Adithya schedule 14.09.2018
comment
Вероятно, нет, http.setRequestHeader(Content-type, application/x-www-form-urlencoded); по вашей ссылке, но в моем случае сервер использует application/json.
- person Arthur schedule 14.09.2018
comment
При дальнейших исследованиях я обнаружил, что это невозможно. См. этот ссылка. Но вы можете использовать токен CSRF для дополнительной безопасности.
- person Maruthi Adithya schedule 14.09.2018
Ответы (1)
«Некоторые приложения будут проверять, что HTTP-заголовок Content-Type имеет значение «application/json», поэтому это предотвратит атаку CSRF. Лучшей безопасностью будет использование токена аутентификации, это защитит HTTP-запросы, даже если тип данных не JSON."
Спасибо, Адитья!
person
Arthur
schedule
14.09.2018
