[英]How can an API application be vulnerable to CSRF?
我有一个Web API应用程序并为其配置了SSL。
我们的身份验证机制是通过标头。 每个请求都必须包含一对密钥,我们将根据数据库验证它们。 我们没有使用Forms / Basic或Digect身份验证。
我只是想知道我们是否必须就跨站请求伪造(CSRF)问题做任何事情? 它适用于这种情况吗?
我想是因为我们没有使用cookies所以它应该是安全的。
实际上,如果用户的浏览器自动推送攻击者没有的某些凭据,则强制其他用户执行请求只对攻击者有利。 那可以是:
如果您不依赖任何此类凭证,那么就没有CSRF攻击可以抵御。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.