标签: csrf xmlhttprequest
如果服务器接受跨站点XHTMLRequests(access-control-allow-origin),服务器是否应该强制执行针对跨站点请求伪造(CSRF)的保护?
答案 0 :(得分:1)
这取决于。一般来说,如果请求导致永久性更改,并且您不希望任意人员进行更改,则强烈建议您使用CSRF保护。
答案 1 :(得分:1)
服务器不应强制执行该操作,但应用程序应该通过非人类验证(即CAPTCHA)请求完成关键操作。
答案 2 :(得分:0)
是。您应该始终保护CSRF免受攻击。