删除列表项时,是否需要使用CSRF令牌确认它是正确的请求?
我认为csrf令牌的必要性取决于要删除的数据的重要性。我不知道我的想法是正确的吗?
<ul>
<li>item 1 <button type="button" onclick="deleteItem()">delete</button></li>
<li>item 2 <button type="button" onclick="deleteItem()">delete</button></li>
<li>item 3 <button type="button" onclick="deleteItem()">delete</button></li>
</ul>
答案 0 :(得分:1)
发布数据时只需要csrf令牌。 通常,客户端在表单标签中或在对后端进行ajax调用时会秘密地“标记”。
答案 1 :(得分:1)
默认情况下,每次修改数据时,默认都应使用CSRF验证。实际上,当您执行POST,PUT,PATCH或DELETE请求时,可能会使用此方法。在每种情况下,除非有GET请求。
如果您接受没有CSRF令牌的请求,则另一个网站有可能代表用户(无论是否出于恶意)代表用户提出请求。