标签: security json csrf
POST请求返回的JSON数据是否可以被跨站请求伪造攻击窃取?
答案 0 :(得分:2)
使用JS无法完成,但我不确定Flash的跨域请求。
在JS POST请求可以通过表单和XMLHTTPRequest进行。您无法看到跨域表单的结果,因此这是安全的。 XHR禁止跨域请求,因此也是安全的。
浏览器确实允许通过<script>元素跨域包含脚本,但这只是使用GET。
<script>