标签: http csrf
假设HTTP服务器实际上根本没有从Cookie读取任何数据。所有数据都来自请求的不同部分:标头,正文,URL等。这个事实是否保证没有CSRF攻击?
答案 0 :(得分:1)
CSRF不需要cookie。它需要由浏览器自动发送的身份验证。其他此类身份验证形式包括http基本身份验证和客户端证书。
如果使用特定的http标头进行授权(例如,承载令牌),则 有效地防止CSRF。