打开OData读取/ GET端点的最安全方法是什么,而不会像this一样对CSRF攻击造成风险?
我没有查看源代码,但MSFT ODATA library在这方面与jQuery的比较如何:
答案 0 :(得分:2)
OData旨在通过仅将对象作为JSON结果返回来防止链接中描述的JSON劫持攻击,这使得有效负载成为无效的JavaScript程序,因此浏览器不会执行此操作。
这与您使用datajs还是jQuery无关。我没有看过你从jQuery得到的确切结果,但我知道datajs将“解包”结果,这样你就可以获得更自然的结果,而不需要任何人为的顶级对象。
特别是,.NET的WCF数据服务实现不支持开箱即用的JSONP,尽管有一些流行的简单解决方案可以添加它。但是,在那时,您基本上已选择允许从其他域中查看数据,因此不应对用户敏感数据执行此操作。