0
我的團隊正在構建一個網站,該網站使用AJAX調用WCF服務進行所有狀態更改。如果這些服務的方法是POST,並且它的Content-Type是'application/json',那麼這些服務只接受一個請求。假設我們的網站沒有XSS漏洞,這是否足以抵禦我們的WCF服務的CSRF?攻擊者是否可以使用自定義Content-Type頭創建跨站點POST?是否需要POST加定製Content-Type防止CSRF?
[編輯] 顯然有幾種方法讓惡意第三方網站構建HTTP POST請求到我的網站。據我所知,但是,這些方法都不允許更改Content-Type標頭。 XHR和Flash都允許您設置標題,但有嚴格的跨網站限制。