我有一个由简单的JSON API和React前端组成的应用程序。身份验证通过cookie处理,前端从我用于API的同一域提供。由于我不允许使用CORS,如果API仅接受带有某些自定义标头的请求,例如X-Requested-With设置为XMLHttpRequest,那么就想知道API是否会受到CSRF攻击保护?
答案 0 :(得分:1)
攻击者可以使用XMLHttpRequest发送跨站点请求而不违反同源策略(SOP) - 此处唯一的限制是攻击者的站点将无法查看响应。 Cookie会包含在受害者浏览器发送的每个请求中,因此API调用仍将通过跨站点XHR触发,因此此API仍然容易受到CSRF的攻击。
如果您不想更改任何安全体系结构,请CSRF Prevention Cheat Sheet recommends checking the Origin header。本文档描述了其他方法,例如CSRF令牌同步器方法,它可以用作标题元素,被认为是一种更强大的防御方法。