La convalida del token CSRF è richiesta per il metodo http diverso da POST e GET? [duplicare]

1

Se imposto le azioni per gli utenti registrati da eseguire tramite metodi HTTP diversi da GET o POST , le richieste HTTP Javascript che rispettano lo stesso criterio di origine (SOP) o Cross-Origin Resource Sharing (CORS) è il l'unico modo per eseguire tali azioni con credenziali non è vero? (Dal momento che sembra non essere possibile con l'HTML di base.)

    
posta user2284570 27.01.2018 - 19:13
fonte

1 risposta

1

Nei browser moderni, le richieste con metodi diversi da HEAD , GET e POST non possono essere inviate con origine incrociata senza un'autorizzazione CORS.

Se la tua applicazione verifica che il metodo di richiesta sia, ad esempio, PUT , un utente malintenzionato non può falsificare tale richiesta in un attacco CSRF, a meno che tu non dia esplicitamente il permesso, ad es. con un'intestazione Access-Control-Allow-Methods: PUT .

Vedi anche: Esempi di scenari di controllo degli accessi

    
risposta data 27.01.2018 - 19:30
fonte

Leggi altre domande sui tag