是否可以针对无状态 RESTful 服务进行跨站点请求伪造?
我不是在谈论服务器记住您通过 cookie 登录的伪 REST。我说的是没有 cookie 的纯服务器上无应用程序状态的 REST。
我正在使用 SSL 和基本身份验证。对于每个请求,授权标头都必须存在。JSP 意义上没有“会话”,尽管在 SSL 级别存在某种会话。
因此,假设我正在查看发出 Ajax 请求的合法网页,并且不知何故我转到同一选项卡或不同选项卡中的不同页面,并且该页面发出相同的 Ajax 请求。(我假设合法网页上没有恶意代码;这完全是另一回事,在这种情况下一切皆有可能。)
当第二个页面发出 Ajax 请求时,浏览器是否会放置相同的 Authorization 标头?即浏览器会说“哦,你想再去那里吗?嘿,我只是碰巧还有钥匙!”?
另外,恶意脚本不能执行 xhr 请求,然后在回调中从 ioargs 获取请求,获取 Authorization 标头和 un-Base64 名称和密码吗?