我试图找到有关API的CSRF漏洞的更多信息,我发现的关闭是这里的问题:
Are JSON web services vulnerable to CSRF attacks?
问题在于,即使在那里,他们也在使用基于浏览器的cookie控制会话 . 如果您使用标头中设置的身份验证令牌,那么这是否会使所有CSRF问题无效?
浏览器无法提供身份验证令牌/会话数据,因为浏览器永远不会被提供! Javascript负责提取令牌并设置它 - 如果恶意用户可以在您的javascript中注入代码,那么您开始时的安全漏洞要比CSRF差得多 .
我错过了什么吗?