我有一个 RESTful API,可以通过我制作的网站进行交互。我对 POST、DELETE、PUT 等请求进行了充分的保护,因此攻击者无法通过 CSRF 对数据库进行任何更改。
但是,如果有人使用 CSRF 向网站发出 GET 请求,我担心他们可能能够查看响应,这可能会泄露存储在数据库中的敏感数据。
他们是否可以查看对跨站点 GET 请求的响应,或者这是否完全由 Javascript 的同源策略处理?
最佳答案
is this definitely, completely taken care of by Javascript's Same Origin Policy?
是的。这就是同源策略的要点。
要变得脆弱,您需要:
- 使用 JSONP 或 CORS 等方式在 SOP 中打洞或
- 不执行用户身份验证,以便他们无需经过身份验证的用户浏览器作为中间人即可访问数据
关于javascript - GET 请求的 CSRF 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31614666/