我有一个RESTful API,我通过我制作的网站与之互动。我有POST,DELETE,PUT等请求得到充分保护,因此攻击者无法通过CSRF对数据库进行任何更改。
但是,如果有人使用CSRF向网站发出GET请求,我担心他们可能会查看响应,这可能会泄露存储在数据库中的敏感数据。
他们是否可以查看对跨站点GET请求的响应,或者这肯定是由Javascript的同源策略完全处理的?
答案 0 :(得分:2)
这是肯定的,完全由Javascript的同源策略处理吗?
是。这就是同源政策的重点。
要易受攻击,你需要: