如果我理解正确,如果您只允许来自“AJAX”(实际上是AJAJ)表单的
如果有人尝试使用一些巧妙的POST到iFrame hack从另一个页面发布表单,它将会是
如果有人尝试使用AJAJ发布表单,只有当OPTIONS具有允许它的CORS标头时才会成功。
结论:除非使用CORS,否则在使用
还有其他任何我没有考虑到的矛盾之处吗?
application/json
,那么就不需要CSRF令牌,对吗?如果有人尝试使用一些巧妙的POST到iFrame hack从另一个页面发布表单,它将会是
application/x-www-form-urlencoded
,您可以立即将其丢弃。如果有人尝试使用AJAJ发布表单,只有当OPTIONS具有允许它的CORS标头时才会成功。
结论:除非使用CORS,否则在使用
application/json
而不是application/x-www-form-urlencoded
时,您将免于CSRF攻击。还有其他任何我没有考虑到的矛盾之处吗?