私はCSRF上に読んで、この質問に出くわした:https://security.stackexchange.com/questions/36671/csrf-token-in-get-requestなぜGET apisのCSRF保護は含まれていませんか?
複数の人がオンラインにも1がCSRFに対してGETリクエストを守るべきではないことを示しているように見えるしています。しかし、なぜ私は混乱しています。
GETリクエストに機密情報(ユーザーの個人情報など)が含まれている場合は、CSRFに対してそれを保護したいでしょうか?さもなければ、攻撃者は個人情報を盗むことができます。
GET URLにトークンを含めないでください。これらはログに記録される可能性があるためです。ただし、カスタムヘッダーに含めることはできませんか?
によって開始されていることを象徴するトークンを追加するという意味での要求を保護します.com'の場合、 'xyz.com'が実際に' abc.com'からの応答を読むことはできません。 – wlingke
また、GETルートにcsrf保護を追加することには欠点がありますか? – wlingke
したがって、一般的なカード攻撃では、誰かが別のウェブサイトにアカウントを持っているかもしれないウェブサイトのフォームや行動を埋め込んでいます。例として、フォーラムにアクセスし、このフォーラムでは、攻撃者が銀行の送金依頼を開始するフォームを埋め込むことができました。あなたの銀行口座に現在ログインしている可能性があります。 CSRFトークンがない場合、その要求が機能している可能性があります。 –