私のチームは、すべての状態変更に対して WCF サービスへの AJAX 呼び出しを使用するサイトを構築しています。これらのサービスは、メソッドが POST で Content-Type が「application/json」の場合にのみリクエストを受け入れます。私たちのサイトに XSS 脆弱性がないと仮定すると、これは WCF サービスの CSRF に対する十分な保護になりますか? 攻撃者がカスタムの Content-Type ヘッダーを使用してクロスサイト POST を作成することは可能ですか?
[編集]明らかに、悪意のあるサードパーティのサイトが私のサイトへの HTTP POST リクエストを作成する方法はいくつかあります。ただし、私が知る限り、これらの方法では Content-Type ヘッダーを変更することはできません。XHR と Flash の両方でヘッダーを設定できますが、サイト間の制限が厳しいです。