ステートレス RESTful サービスに対してクロスサイト リクエスト フォージェリは可能ですか?
私は、Cookie を介してログインしていることをサーバーが記憶する疑似 REST について話しているのではありません。私が話しているのは、Cookie を使用しない純粋なサーバー上でのアプリケーション状態のない REST です。
SSL と基本認証を使用しています。すべてのリクエストに対して、その Authorization ヘッダーが存在する必要があります。SSL レベルにはある種のセッションがありますが、JSP の意味での「セッション」はありません。
そこで、Ajax リクエストを行う正当な Web ページを表示していて、何らかの方法で同じタブまたは別のタブの別のページに移動し、そのページが同じ Ajax リクエストを行うとします。(正規の Web ページには悪意のあるコードはないと仮定しています。それはまったく別のことであり、その場合は何でも可能です。)
2 番目のページが Ajax リクエストを行うとき、ブラウザーは同じ Authorization ヘッダーを設定しますか? つまり、ブラウザは「ああ、またそこに行きたいですか?たまたままだ鍵を持っているだけです!」と言うでしょうか?
また、悪意のあるスクリプトが xhr リクエストを実行し、コールバックで ioargs からリクエストを取得し、Authorization ヘッダーを取得して、名前とパスワードを Base64 で解除することはできませんか?