说有一个网站,它是
-
对其所有POST请求使用XHR,并且只有POST请求才能触发服务器上的写入操作。
-
服务器也有适当的CORS配置,它不接受任何请求,只接受自己的
那么,该网站是否仍有可能面临CSRF的潜在危险?
CORS与CSRF无关。例如,表格员额不在CORS范围内。CORS与读取数据有关。CSRF正在写入数据。
如果你只使用XHR并不重要,一个邪恶的网站可以使用常规的表单帖子或Flash对你的网站进行CSRF。
只需遵循OWASP的建议并使用同步器令牌模式:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_事件_备忘单#同步器_.28CSRF.29_打开