質問が尋ねるように、私は Jetty を使用する一般的な Web サイトを持っており、CSRF 保護を求められています。
フォームがある場合:
<form action="http://somedomain.com/somepage">
<input ....>
</form>
私の質問: 一部のページが content-type: application/json のみを受け入れる場合、これは CSRF を防ぐのに十分ですか? ユーザーごとに一意のトークンを生成する必要があると確信しています。しかし、保護のみが content-type によって行われている場合、どのようにして CSRF に違反することができるのでしょうか?