我有它僅接受以「接受:應用/ JSON的」請求SPA內置了JSON API頭。因此,在瀏覽器中提交以下表單將導致「不可接受」。 HTTP錯誤。使用自定義所需的HTTP頭作爲API的CSRF的保護方法是否安全?
<form method="POST" action="https://api.example.domain/resource">
<input type="password" name="password" value="CSRF">
<input type="submit" value="Click!">
</form>
這是否意味着API對CSRF類型的攻擊具有免疫力,或者我錯過了什麼?
豪爾赫您好,感謝您分享了一個漂亮的文章。因此,如果REST API會在每個響應中設置「Access-Control-Allow-Origin:https:// domain.name'頭部,我還應該檢查Origin和Referer頭部還是足夠? – tooleks
對我來說似乎夠了。 但是,在向Web應用程序添加安全性時繼續進行的最好方法是遵循OWASP準則。即使你認爲它已經足夠安全,你可能會錯過一些東西。所以,我建議你仍然使用'Origin'或'Referer'頭文件,甚至同步令牌 –