是否存在不使用 cookie 的 CSRF 攻击?

Are there CSRF attacks that don't use cookies?

假设 HTTP-server 几乎没有从 cookie 中读取任何数据。所有数据都来自请求的不同部分:headers、body、url等。这个事实是否保证不会有CSRF-attacks?

CSRF 并不特别需要 cookie。它需要由浏览器自动发送的身份验证。其他此类身份验证形式包括 http 基本身份验证和客户端证书等。

如果使用特定的 http header 进行授权(例如不记名令牌), 可以有效防止 CSRF。