我的团队正在构建一个站点,该站点使用对 WCF 服务的 AJAX 调用来进行所有状态更改。这些服务仅在其方法为 POST 且其 Content-Type 为“application/json”时才接受请求。假设我们的站点没有 XSS 漏洞,这是否足以为我们的 WCF 服务提供针对 CSRF 的保护?攻击者是否可以使用自定义 Content-Type 标头创建跨站点 POST?
[编辑] 显然,恶意第三方站点有多种方法可以向我的站点构建 HTTP POST 请求。然而,据我所知,这些方法都不允许更改 Content-Type 标头。XHR 和 Flash 都允许您设置标题,但有严格的跨站点限制。