RESTful接口的csrf防禦考慮
關於RESTful標準服務是否需要方法跨站請求攻擊,網上有很多討論,總結下來核心的關鍵點在於是否使用了cookie,而就目前而言,REST標準下的服務接口,即便API做到了無狀態,用户令牌(Token)也很經常會放到localStorage或者cookie中,這些情況下本質上與RESTful的無狀態標準定義不衝突,但是必須要考慮XSS(跨站腳本攻擊)、CSRF(跨站請求攻擊)的防範需求了。 Coo
湘西刺客王鬍子 日志
關於RESTful標準服務是否需要方法跨站請求攻擊,網上有很多討論,總結下來核心的關鍵點在於是否使用了cookie,而就目前而言,REST標準下的服務接口,即便API做到了無狀態,用户令牌(Token)也很經常會放到localStorage或者cookie中,這些情況下本質上與RESTful的無狀態標準定義不衝突,但是必須要考慮XSS(跨站腳本攻擊)、CSRF(跨站請求攻擊)的防範需求了。 Coo