私は、すべての動的コンテンツがAjaxリクエストを使用してJSONとして取得されるWebアプリケーションを開発しています。GET API呼び出しが異なるオリジンから呼び出されないように保護する必要があるかどうかを検討していますか?
GETリクエストは状態を変更せず、一般的な知恵は、CSRF保護を必要としないということです。しかし、ブラウザがそのようなリクエストの結果を別のオリジンサイトにリークするというコーナーケースはないのだろうか?
たとえば、別のオリジンサイトが/ users / emailsをスクリプト、css、またはimgとして取得した場合、ブラウザーが結果のjsonを呼び出し元のサイトにリークする可能性がありますか(たとえば、javascript onerrorハンドラーを介して)?
ブラウザは、クロスオリジンJSON応答のコンテンツがリークされないことを十分に保証しますか?クロスオリジンコールからGETリクエストを保護することは理にかなっていると思いますか、それともやり過ぎですか?