标签: cors csrf
这可能是一个非常简单的问题。我只是想确保我正确理解它:
如果我在我的网络服务器上禁用CORS,我就可以防止CSRF(XSRF)攻击。这是正确的假设吗?
答案 0 :(得分:1)
绝对不是。 CSRF的攻击向量越有可能用于非XHR请求(常规GET和POST),无论如何都不受CORS的约束。您需要检查您的URL以了解它们允许的请求类型,并相应地进行保护。如果你确定它正在被使用,CORS实际上会使这更安全。