Ich benutze AJAX auf meiner Website und Tokens, um CSRF zu verhindern. Ist es sinnvoll, anstelle von POST verschiedene HTTP-Methoden zu verwenden, um den Schutz vor CSRF zu erhöhen? oder irgendein anderer Angriff?CSRF mit verschiedenen HTTP-Methoden verhindern?
Annahme: Wir verwenden verschiedene Sicherheitstoken und eine konstante HTTP-Methode. Warum nicht variabel machen? Wenn ein schlechter Typ Daten per POST-Methode sendet, wartet ein Server die PUT-Methode von diesem bestimmten Benutzer.
Warum nicht [google] (https://www.google.de/search?q=Cross-Site+Request+Forgery+prevention+methods)? – JohannesB
dreht sich alles um Sicherheitstoken, während ich nach HTTP-Methoden fragte – o0o0o
'Eine alternative Verteidigung, die besonders gut für AJAX-Endpunkte geeignet ist, ist die Verwendung eines benutzerdefinierten Anfrage-Headers. Diese Verteidigung basiert auf der SOP-Beschränkung (SOC = Originals Policy), bei der nur JavaScript zum Hinzufügen eines benutzerdefinierten Headers und nur innerhalb des Ursprungs verwendet werden kann. Standardmäßig erlauben Browser JavaScript nicht, um Cross-Ursprungsanforderungen zu stellen. Ein besonders attraktiver benutzerdefinierter Header und zu verwendender Wert ist: "X-Requested-With: XMLHttpRequest" Scheint für mich wie eine HTTP-Methode. Erster Artikel auf Google. Nur das als Kontrolle zu verwenden, wäre jedoch eine schlechte Übung. – JohannesB