CSRF: pueden ser robados los datos JSON devueltos por una solicitud POST?
https://stackoverflow.com/questions/394836
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Pueden los datos JSON, devuelto por una solicitud POST ser robados por un cross-site ataque falsificación de petición?
Solución
No se puede hacer usando JS, pero no estoy seguro acerca de la solicitud de varios dominios de flash.
En solicitud JS POST puede hacerse a través de formas y XMLHTTPRequest. No se puede ver resultado de una forma de dominios cruzados, por lo que es seguro. XHR prohíbe solicitudes entre dominios, por lo que es seguro también.
navegadores permitir la inclusión de varios dominios de secuencias de comandos a través de elemento <script>, pero que utiliza GET solamente.
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
