security - 除了POST和GET之外，http方法不需要xsrf令牌吗？

除了POST和GET之外，http方法不需要xsrf令牌吗？

时间：2018-01-26 23:52:05

标签： security csrf http-delete http-put

简单的问题，但我无法在任何地方找到答案......

如果我通过除get或post以外的http方法为登录用户设置操作，那么javascript http请求尊重sop或cors是唯一能够使用凭据执行这些操作的权限吗？（因为html似乎无法实现）

1 个答案:

答案 0 :(得分：0)

一般情况下，由于HTML表单不支持PUT / DELETE谓词和浏览器阻止跨域XmlHttpRequest，因此无法对PUT / DELETE谓词执行XSRF攻击。但是，我们应该意识到事情可能会在将来发生变化，例如 - 早期HTML5草案中的HTML表单包含PUT / DELETE谓词，但后来被删除了。

mootools 1.1支持请求方法除了获取和发布吗？
防止jQuery $ .post的CSRF和XSRF攻击
python中发布post和get的方法
如何获得XSRF-TOKEN＆amp;用HttpUrlConnections Post方法发送它
除POST和GET之外的Ajax中的方法
我可以使用POST方法获取数据，使用GET方法发布数据吗？
是否必须通过cookie对XSRF-TOKEN进行实例化并通过标头发送？
是否可以使用POST方法而不是GET？
除了POST和GET之外，http方法不需要xsrf令牌吗？
用于令牌生成的GET或POST

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？