为什么不为GET apis包含CSRF保护?

我正在阅读CSRF并遇到了这个问题:https://security.stackexchange.com/questions/36671/csrf-token-in-get-request

在线多人似乎也表明不应该保护针对CSRF的GET请求 . 但是,我为什么感到困惑 .

如果您的GET请求包含敏感信息(比如说用户的个人信息),那么您是否希望保护它免受CSRF的影响?否则攻击者可以窃取个人信息 .

我知道你不应该在GET URL中包含令牌,因为可能会记录这些令牌 . 但是,您不能只将它们包含在自定义 Headers 中吗?

回答(1)

2 years ago

CRSF攻击是盲目的 . 他们通常发送请求而无法读取操作的结果 . 这里的原因是同源政策 .

SOP阻止您阅读其他来源收到的回复,这意味着无论如何您都无法访问私人内容 .

CRSF保护代替保护REQUESTS,因为它添加了一个令牌,表示请求是由Web应用程序本身启动的