我有一个Web API应用程序并为其配置了SSL。
我们的身份验证机制是通过标头。每个请求都必须包含一对密钥,我们将根据数据库验证它们。我们没有使用Forms / Basic或Digect身份验证。
我只是想知道我们是否必须就跨站请求伪造(CSRF)问题做任何事情?适用于这种情况吗?
我想是因为我们没有使用cookies所以它应该是安全的。
答案 0 :(得分:3)
实际上,如果用户的浏览器自动推送攻击者没有的某些凭据,则强制其他用户执行请求只对攻击者有利。那可以是:
如果您不依赖任何此类凭证,则无法进行CSRF攻击。