0
Я использую AJAX на своем сайте и токены, чтобы предотвратить CSRF. Есть ли смысл использовать разные методы HTTP вместо POST для повышения защиты от CSRF? или любой другой атаки?Предотвращение CSRF с использованием различных методов HTTP?
Успение: Мы используем разные токены безопасности и постоянный метод HTTP. Почему бы не сделать его переменным? Если плохой парень отправляет данные методом POST, но сервер ждет метода PUT от этого конкретного пользователя.
Почему бы не [google] (https://www.google.de/search?q=Cross-Site+Request+Forgery+prevention+methods) его? – JohannesB
все о марке безопасности, когда я спрашивал о методах HTTP – o0o0o
'Альтернативная защита, которая особенно хорошо подходит для конечных точек AJAX, - это использование настраиваемого заголовка запроса. Эта защита основывается на ограничении, основанном на том же самом происхождении (SOP), что только JavaScript может использоваться для добавления настраиваемого заголовка и только в пределах его происхождения. По умолчанию браузеры не позволяют JavaScript выполнять запросы на кросс-поиск. Особенно привлекательный пользовательский заголовок и значение для использования: «X-Requested-With: XMLHttpRequest» Похоже на метод HTTP для меня. Первая статья о Google. Однако использовать только это, поскольку проверка будет плохой практикой. – JohannesB