我有一个使用angularjs构建的单页面应用程序,它使用$ http服务发出GET和POST请求。该站点不对用户进行身份验证,它是匿名的。有没有办法防止匿名网站的CSRF攻击?我在angularjs中发现了许多使用$ http服务的帖子。但我不明白它是否也适用于匿名应用程序。任何人都可以建议吗?谢谢!
答案 0 :(得分:1)
如果您的应用程序未对用户进行身份验证,我认为您不必担心CSRF攻击。
"跨站点请求伪造(CSRF)是一种攻击,当恶意网站,电子邮件,博客,即时消息或程序导致用户的Web浏览器执行不需要的操作时对用户当前进行身份验证的受信任站点上的操作。" 这来自https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
它表示" 导致用户的网络浏览器在用户当前已通过身份验证的受信任网站上执行不需要的操作 &# 34。
答案 1 :(得分:1)
如果您没有身份验证,则无需担心CSRF。此外,如果您添加作为标题传递的令牌身份验证,您也不必担心它。
CSRF的问题是另一个自动为您的网站使用身份验证Cookie的网站。
也许你担心别的事情,而不是CSRF?你究竟害怕什么,因为整个网站都是公开的,匿名的?