标签: web-services csrf session-less
我们希望为支持AJAX的Web服务添加CSRF保护。但是一些Web服务已经禁用了Session状态。那怎么处理呢?
帖子Sesionless CSRF protection (double submit cookies)谈到了这一点,并指出使用cookies。但正如这篇帖子Anti-CSRF cookie?所指出的那样,使用cookie可能不是一个好主意。
有人可以指点我走正确的路吗?
提前致谢!