如果我只发送 JSON 到我的服务器,CSRF 是否构成威胁?

Is CSRF a threat if I only send JSON to my server?

我使用 jQuery.ajax 从浏览器向我的服务器发送 JSON 并且 Content-Type header 设置为 application/json

这里是否存在 CSRF 问题? (我知道如果我从表单发送 application/x-www-form-urlencoded 数据是个问题。)

如果您使用 application/json 并且您的服务器不允许跨源请求,那么唯一的威胁来自基于 XHR 的 CSRF 攻击。因此,攻击者需要使用 XSS(或类似攻击)来从您的来源 运行 代码。