我已经读过在GET请求中不需要CSRF,因为它们被认为是安全的。
然而,我能想到的一种情况是这样的攻击:
<img src="https://otherdomain.com/logout" />
如果没有CSRF,这将是糟糕的。当然,人们可能要求注销路线要求发布,但我经常将其视为一个简单的href实现。
此外,为什么GET安全呢?他们仍然泄漏了回复中的数据......
答案 0 :(得分:3)
这是一种只写的攻击。来自OWASP page on CSRF:
CSRF攻击目标功能导致服务器上的状态更改,例如更改受害者的电子邮件地址或密码或购买某些内容。 强制受害者检索数据不会使攻击者受益,因为攻击者没有收到响应 ,受害者会这样做。因此,CSRF攻击针对状态变化请求。
只要GET请求不改变状态,它们对黑客就没有价值。
我认为您提供的注销示例可能会给用户带来不便,但黑客没有实际的伤害,也没有实际的好处。