为什么不包括 GET api 的 CSRF 保护?
Why not include CSRF protection for GET apis?
我在阅读 CSRF 时遇到了这个问题:https://security.stackexchange.com/questions/36671/csrf-token-in-get-request
网上很多人似乎也表示不应该保护 GET 请求免受 CSRF 攻击。但是,我很困惑为什么。
如果您的 GET 请求包含敏感信息(比如用户的个人信息),那么您会希望保护它免受 CSRF 攻击,对吗?否则攻击者可以窃取个人信息。
我知道您不应在 GET URL 中包含令牌,因为这些可能会被记录。但是,您不能只将它们包含在自定义 header 中吗?
CRSF 攻击是盲目的。他们通常在无法读取操作结果的情况下发送请求。这里的原因是同源策略。
SOP 阻止您阅读其他来源收到的回复,这意味着您无论如何都无法访问私人内容。
CRSF 保护改为保护 REQUESTS,因为它添加了一个令牌,表示请求是由 Web 应用程序本身启动的
我在阅读 CSRF 时遇到了这个问题:https://security.stackexchange.com/questions/36671/csrf-token-in-get-request
网上很多人似乎也表示不应该保护 GET 请求免受 CSRF 攻击。但是,我很困惑为什么。
如果您的 GET 请求包含敏感信息(比如用户的个人信息),那么您会希望保护它免受 CSRF 攻击,对吗?否则攻击者可以窃取个人信息。
我知道您不应在 GET URL 中包含令牌,因为这些可能会被记录。但是,您不能只将它们包含在自定义 header 中吗?
CRSF 攻击是盲目的。他们通常在无法读取操作结果的情况下发送请求。这里的原因是同源策略。
SOP 阻止您阅读其他来源收到的回复,这意味着您无论如何都无法访问私人内容。
CRSF 保护改为保护 REQUESTS,因为它添加了一个令牌,表示请求是由 Web 应用程序本身启动的