简单的问题,但我无法在任何地方找到答案......
如果我通过除get
或post
以外的http方法为登录用户设置操作,那么javascript http请求尊重sop或cors是唯一能够使用凭据执行这些操作的权限吗? (因为html似乎无法实现)
答案 0 :(得分:0)
一般情况下,由于HTML表单不支持PUT / DELETE谓词和浏览器阻止跨域XmlHttpRequest,因此无法对PUT / DELETE谓词执行XSRF攻击。但是,我们应该意识到事情可能会在将来发生变化,例如 - 早期HTML5草案中的HTML表单包含PUT / DELETE谓词,但后来被删除了。