如果我只发送 JSON 到我的服务器,CSRF 是否构成威胁?
Is CSRF a threat if I only send JSON to my server?
我使用 jQuery.ajax
从浏览器向我的服务器发送 JSON 并且 Content-Type
header 设置为 application/json
。
这里是否存在 CSRF 问题? (我知道如果我从表单发送 application/x-www-form-urlencoded
数据是个问题。)
如果您使用 application/json
并且您的服务器不允许跨源请求,那么唯一的威胁来自基于 XHR 的 CSRF 攻击。因此,攻击者需要使用 XSS(或类似攻击)来从您的来源 运行 代码。
我使用 jQuery.ajax
从浏览器向我的服务器发送 JSON 并且 Content-Type
header 设置为 application/json
。
这里是否存在 CSRF 问题? (我知道如果我从表单发送 application/x-www-form-urlencoded
数据是个问题。)
如果您使用 application/json
并且您的服务器不允许跨源请求,那么唯一的威胁来自基于 XHR 的 CSRF 攻击。因此,攻击者需要使用 XSS(或类似攻击)来从您的来源 运行 代码。