相关疑难解决方法(0)

此问题仅针对防止跨站点请求伪造攻击.

具体来说:通过Origin头(CORS)保护和通过CSRF令牌保护一样好吗？

例:

Alice使用她的浏览器登录(使用cookie)" https://example.com ".我假设她使用的是现代浏览器.
Alice访问" https://evil.com ",evil.com的客户端代码对" https://example.com "(经典CSRF场景)执行某种请求.

所以:

如果我们不检查Origin头(服务器端),并且没有CSRF令牌,我们就有一个CSRF安全漏洞.
如果我们检查一个CSRF令牌,我们是安全的(但它有点乏味).
如果我们检查Origin标头,应该阻止来自evil.com的客户端代码的请求,就像使用CSRF令牌时一样 - 除非,如果有可能的话,evil.com的代码可以设置Origin标头.

我知道,如果我们相信W3C规范在所有现代浏览器中都能正确实现,那么XHR就不可能实现这一点(参见例如跨源资源共享的安全性),至少不是这样(我们可以吗？)

但是其他类型的请求呢 - 例如表单提交？加载脚本/ img/...标签？或者页面可以用来(合法地)创建请求的任何其他方式？或者也许是一些已知的JS黑客攻击？

注意:我不是在谈论