什么时候需要CSRF令牌?

时间:2018-09-28 12:55:43

标签: csrf csrf-protection

删除列表项时,是否需要使用CSRF令牌确认它是正确的请求?

我认为csrf令牌的必要性取决于要删除的数据的重要性。我不知道我的想法是正确的吗?

<ul>
    <li>item 1 <button type="button" onclick="deleteItem()">delete</button></li>
    <li>item 2 <button type="button" onclick="deleteItem()">delete</button></li>
    <li>item 3 <button type="button" onclick="deleteItem()">delete</button></li>
</ul>

2 个答案:

答案 0 :(得分:1)

发布数据时只需要csrf令牌。 通常,客户端在表单标签中或在对后端进行ajax调用时会秘密地“标记”。

答案 1 :(得分:1)

默认情况下,每次修改数据时,默认都应使用CSRF验证。实际上,当您执行POSTPUTPATCHDELETE请求时,可能会使用此方法。在每种情况下,除非有GET请求。

如果您接受没有CSRF令牌的请求,则另一个网站有可能代表用户(无论是否出于恶意)代表用户提出请求。