REST请求中是否需要CSRF令牌?

时间:2014-09-25 11:31:11

标签: symfony

我计划在

的帮助下为Normal使用相同的控制器(通过浏览器提供基本的默认http请求)和API请求
  1. FOSRest :(将根据请求类型返回正确的数据格式)
  2. JMSSerializer:在必要时序列化响应数据

    3. 通常,API请求必须/应该与令牌一起授权请求。但是,当我们在网站上直接使用API​​登录用户时,我们已经通过Session授权用户,因此不需要传递API令牌。

    但是,如果我们只通过Session授权而不使用CSRF令牌来重新检查(或者我可能错了吗?),那么跨站点脚本的风险仍然存在。因此,如果存在这种风险,那么我是否应该/还必须在这些REST请求中包含CSRF?

0 个答案:

没有答案
相关问题
最新问题