我在阅读CSRF时遇到了这个问题:https://security.stackexchange.com/questions/36671/csrf-token-in-get-request
许多在线的人似乎也表示不应该保护GET请求免受CSRF的攻击。然而,我不明白为什么。如果您的GET请求包含敏感信息(比如用户的个人信息),那么您希望保护它免受CSRF的侵害,对吗?否则,攻击者可以窃取个人信息。
我知道你不应该在get URL中包含令牌,因为这些可能会被记录。然而,你不能把它们包含在自定义标题中吗?
CRSF攻击是盲目的。它们通常在无法读取操作结果的情况下发送请求。这里的原因是同源策略。
SOP阻止您读取其他来源收到的响应,这意味着您无论如何都不能访问私有内容。
CRSF保护通过添加一个令牌来保护请求,该令牌表示请求是由web应用程序本身发起的