私の理解が正しければapplication/json
、「AJAX」(実際にはJSONのAJAJ)フォームからのJSONのみを許可している場合、CSRFトークンは必要ありませんよね?
誰かが気の利いた POST-to-iFrame ハックを使用して別のページからフォームに投稿しようとするとapplication/x-www-form-urlencoded
、すぐに破棄できます。
誰かが AJAJ を使用してフォームに投稿しようとすると、それを許可する CORS ヘッダーが OPTIONS にある場合にのみ成功します。
application/json
結論: CORS を使用していない限り、代わりに を使用している場合と同様に CSRF から安全ですapplication/x-www-form-urlencoded
。
私が考慮していない矛盾はありますか?