此刻我正在学习spring,并且刚刚通过Spring进行了简单的注销。我知道我是通过向路径“ / logout”发出POST请求来注销的。但是为什么GET还不够?我尝试了谷歌搜索,但似乎搜索词有误,因为我只得到“为什么我无法登录x”的结果
答案 0 :(得分:1)
主要原因是很容易诱骗用户单击指向/logout的链接,甚至通过JavaScript伪造请求。至少这是一件令人讨厌的事情,并且可能是某种尝试的开始,这种尝试使用户将凭据输入到虚假站点中。使用POST可以发挥所有CSRF保护的作用,使恶意或意外注销更加困难。