gpt4 book ai didi

javascript - GET 请求的 CSRF 保护

转载 作者:行者123 更新时间:2023-11-29 21:44:48 25 4
gpt4 key购买 nike

我有一个 RESTful API,我可以通过我创建的网站与之交互。我对 POST、DELETE、PUT 等请求进行了充分保护,因此攻击者无法通过 CSRF 对数据库进行任何更改。

但是,如果有人使用 CSRF 向网站发出 GET 请求,我担心他们可能能够查看响应,这可能会泄露存储在数据库中的敏感数据。

他们是否可以查看对跨站点 GET 请求的响应,或者这是否完全由 Javascript 的同源策略处理?

最佳答案

is this definitely, completely taken care of by Javascript's Same Origin Policy?

是的。这就是同源策略的意义所在。

要变得易受攻击,您需要:

  • 使用 JSONP 或 CORS 之类的东西在 SOP 中打个洞
  • 不执行用户身份验证,这样他们就可以访问数据,而无需经过身份验证的用户浏览器作为中间人

关于javascript - GET 请求的 CSRF 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31614666/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com