Sto giocando con un'applicazione di test che accetta richieste JSON e la risposta è anche JSON. Sto cercando di fare un CSRF per una transazione che accetta solo i dati JSON con il metodo POST in richiesta. L'applicazione genera un errore se l'URL viene richiesto utilizzando il metodo get (ad es. In <script src=
).
Anche perché l'attacco sia significativo, ovvero la transazione da effettuare, devo inviare i dati nella richiesta. Se creo la mia pagina e invii le richieste JSON, i cookie non viaggiano e quindi il server restituisce un messaggio di errore non autenticato.
Non ci sono token casuali nella richiesta originale dal server.
Mi chiedevo se ci fosse un modo per portare a termine con successo un attacco CSRF in questo scenario.