4

application/json如果我理解正确,如果您只允许来自“AJAX”(对于 JSON 的真正 AJAJ)表单的 JSON ,则不需要 CSRF 令牌,对吧?

如果有人尝试使用一些漂亮的 POST-to-iFrame hack 从另一个页面发布到表单application/x-www-form-urlencoded,您可以立即将其丢弃。

如果有人尝试使用 AJAJ 发布到表单,则只有在 OPTIONS 具有允许它的 CORS 标头时它才会成功。

结论:除非您使用 CORS,否则当您使用application/json而不是application/x-www-form-urlencoded.

有什么我没有考虑的矛盾吗?

4

1 回答 1

1

看看这个Sec.SE 问题和答案。简而言之:你是正确的(目前),但依赖这种行为可能不是一个好主意,所以无论如何都要使用令牌。

于 2013-07-23T14:40:24.993 回答