¿Se requiere la validación del token CSRF para el método http que no sea POST y GET? [duplicar]

1

Si configuro acciones para que los usuarios registrados se realicen a través de métodos HTTP que no sean GET o POST , entonces las solicitudes HTTP de Javascript que respeten la Política del mismo origen (SOP) o el Intercambio de recursos entre orígenes (CORS) es la La única forma de realizar esas acciones con credenciales, ¿no es así? (Ya que parece que no es posible con HTML básico).

    
pregunta user2284570 27.01.2018 - 19:13
fuente

1 respuesta

1

En los navegadores modernos, las solicitudes con métodos distintos a HEAD , GET y POST no se pueden enviar de origen cruzado sin un permiso CORS.

Si su aplicación verifica que el método de solicitud es, por ejemplo, PUT , un atacante no puede falsificar esa solicitud en un ataque CSRF, a menos que usted dé su permiso explícitamente, por ejemplo. con un encabezado Access-Control-Allow-Methods: PUT .

Vea también: Ejemplos de escenarios de control de acceso

    
respondido por el Arminius 27.01.2018 - 19:30
fuente

Lea otras preguntas en las etiquetas