0
CSRF를 예방하기 위해 내 사이트와 토큰에 AJAX를 사용합니다. CSRF에 대한 보호를 강화하기 위해 POST 대신 다른 HTTP 방법을 사용하는 것이 좋습니다. 또는 다른 공격?다른 HTTP 메소드를 사용하는 CSRF 방지?
가정 : 우리는 다른 보안 토큰과 상수 HTTP 메서드를 사용합니다. 왜 변수를 변경하지 않습니까? 나쁜 사람이 POST 방법으로 데이터를 보내지 만 서버가이 특정 사용자로부터 PUT 메소드를 기다리는 경우.
[google] (https://www.google.de/search?q=Cross-Site+Request+Forgery+prevention+methods)가 아닌 이유는 무엇입니까? – JohannesB
HTTP 메서드에 대해 묻는 동안 보안 토큰에 관한 모든 것 – o0o0o
AJAX 끝점에 특히 적합한 대체 방어는 사용자 지정 요청 헤더를 사용하는 것입니다. 이 방어는 JavaScript 만 사용하여 사용자 지정 헤더를 추가하고 해당 원본 내에서만 사용할 수있는 SOP (same-origin policy) 제한을 사용합니다. 기본적으로 브라우저는 JavaScript가 교차 원점 요청을 할 수 없도록합니다. 특히 매력적인 사용자 정의 헤더와 값은 다음과 같습니다 :''X-Requested-With : XMLHttpRequest' 나에게 HTTP 메소드처럼 보입니다. google에 대한 첫 번째 기사입니다. 수표로만 사용하는 것은 나쁜 습관이 될 수 있습니다. – JohannesB