我想为我的网络服务添加CSRF保护。我知道我应该在请求中添加一个令牌。问题是向GET请求添加令牌是非常具体的。
HTTP协议说GET请求只应用于检索。但是,这并不意味着GET检索的数据必须安全,才能被攻击者看到。我想通过GET检索用户特定数据,我不希望它们被泄露。
所以,我的问题是我应该为此目的使用哪种请求方法。
答案 0 :(得分:1)
听起来你在这里混淆了不同的问题。
首先,GET方法并没有更多的“披露”和#39;在你似乎在这里的意思。你是正确的,GET只应该用于检索信息,而不是改变它。但这与您的GET请求的传输安全性无关。
如果您的连接不安全且有人正在倾听'在中间,CSRF令牌可能是你的问题。好歹;运输安全和跨站请求伪造并不是真正相关的。
因此,如果您担心窥探连接,请使用SSL / TLS进行保护。如果不是......只需使用令牌。