我正在阅读CSRF并遇到了这个问题:https://security.stackexchange.com/questions/36671/csrf-token-in-get-request
在线多人似乎也表明不应该保护针对CSRF的GET请求。但是,我为什么感到困惑。
如果您的GET请求包含敏感信息(比如说用户的个人信息),那么您是否希望保护它免受CSRF的影响?否则攻击者可以窃取个人信息。
我知道您不应该在GET URL中包含令牌,因为可能会记录这些令牌。但是,您是否只能将它们包含在自定义标题中?
答案 0 :(得分:2)
CRSF攻击是盲目的。他们通常发送请求而无法读取操作的结果。这里的原因是同源政策。
SOP阻止您阅读其他来源收到的回复,这意味着无论如何您都无法访问私人内容。
CRSF保护代替保护REQUESTS,因为它添加了一个令牌,表示请求是由Web应用程序本身启动的