Tôi đang tạo một API JSON RESTful và tôi quan tâm đến json data theft và Cross-Site Request Forgery.Khả năng tương thích của tiêu đề http "Gốc" để thực thi các hạn chế
Giải pháp tốt được tạo để giải quyết cả hai vấn đề này là Origin http header. Tuy nhiên tôi lo ngại rằng phương pháp này không tương thích với tất cả các trình duyệt hiện đại. Đây có phải là một mối quan tâm hợp lệ? Tiêu đề Origin http có vô dụng do vấn đề tương thích không? Nguồn gốc có nên được xem xét khi thực hiện HTTP referer check không?
Nguồn gốc tốt, bạn cũng sẽ muốn kiểm tra lại Máy chủ lưu trữ vì đó là tiện ích mở rộng của Chrome tiêu đề không thể sửa đổi - http://code.google.com/chrome/extensions/webRequest.html#life_cycle_footnote –
@Devin G Rhode Tất cả các tiêu đề http là tầm thường để giả mạo, ngoại trừ trong một cuộc tấn công CSRF. Nếu kẻ tấn công có thể cài đặt tiện ích mở rộng chrome trên trình duyệt nạn nhân thì có vấn đề lớn hơn CSRF. – rook
@Rook Một kẻ tấn công có thể lẻn mã độc hại vào một phần mở rộng (phần mở rộng ban đầu của riêng mình, hoặc bất kỳ phần mở rộng gốc nào), và chờ mọi người cài đặt nó. Nó không nhất thiết phải là một cuộc tấn công hướng vào một người dùng/máy cụ thể để trở nên "hữu ích". –