4

私の理解が正しければapplication/json、「AJAX」(実際にはJSONのAJAJ)フォームからのJSONのみを許可している場合、CSRFトークンは必要ありませんよね?

誰かが気の利いた POST-to-iFrame ハックを使用して別のページからフォームに投稿しようとするとapplication/x-www-form-urlencoded、すぐに破棄できます。

誰かが AJAJ を使用してフォームに投稿しようとすると、それを許可する CORS ヘッダーが OPTIONS にある場合にのみ成功します。

application/json結論: CORS を使用していない限り、代わりに を使用している場合と同様に CSRF から安全ですapplication/x-www-form-urlencoded

私が考慮していない矛盾はありますか?

4

1 に答える 1

1

このSec.SE の質問と回答をご覧ください。要するに、あなたは正しい(現在)が、おそらくこの動作に依存するのは良い考えではないので、とにかくトークンを使用してください。

于 2013-07-23T14:40:24.993 に答える