SOAP Web服务是否容易受到CSRF攻击？

Question

我们在Spring MVC中有一个Web应用程序，并且使用Spring Web Service实现Web服务。它们基于SOAP。 我在CSRF前面有几个问题。

1. 如果基于SOAP的Web服务存在CSRF漏洞？我不认为它应该是因为SOAP是XML。但仍不确定我是否错过任何事情。
2. 如果基于SOAP的Web服务存在CSRF漏洞，那么如何验证传入请求？至于CSRF，令牌一旦由服务器生成，然后客户端（通常是浏览器）再次将该令牌发送到服务器。如何通过Web服务调用实现这一点。

对此的任何输入都将是一个帮助。提前谢谢。

Answer 1

如果SOAP服务使用SOAP标头中发送的用户ID和密码对请求进行身份验证，则它不会受到CSRF攻击。但请注意，如果Web应用程序使用该服务，则Web应用程序本身可能仍然容易受到CSRF攻击。

Answer 2

仅当您要通过客户端/用户代理/浏览器自动发送的身份验证时，例如Cookie或NTLM / Kerberos令牌。

在这种情况下，攻击者可能拥有一个向您的应用程序发布肥皂并限制用户对其进行访问的网站。友好的浏览器只会在请求中插入Cookie（或者在浏览器/站点中设置的情况下自动通过Windows进行身份验证）。