我的团队正在构建一个站点,该站点使用对WCF服务的AJAX调用来进行所有状态更改。如果其方法为POST且其Content-Type为“application / json”,则这些服务仅接受请求。假设我们的网站没有XSS漏洞,这是否足以保护我们的WCF服务的CSRF?攻击者是否可以使用自定义Content-Type标头创建跨站点POST?
[编辑] 显然,恶意第三方站点有几种方法可以为我的站点构建HTTP POST请求。但据我所知,这些方法都不允许更改Content-Type标头。 XHR和Flash都允许您设置标题,但具有严格的跨站点限制。
答案 0 :(得分:1)
可能,但为什么不继续检查HTTP Referrer标头?那你肯定会知道的。