如果我的API服务器中没有POST端点消耗application/x-www-form-urlencoded或multipart/form-data,我是否需要关注CSRF?根据我的理解,CSRF只能通过表单支持的POST请求来执行。任何其他类型的请求都需要使用XMLHttpRequest,因为相同的原始政策而无法通过。{/ p>
答案 0 :(得分:1)
当然,您可以在现代浏览器中send JSON from forms。因此,适用于application/x-www-form-encoded的所有内容同样适用于其他表单数据编码类型。
此外 - 无法保证支持将来不会添加更多类型,因此始终如此。