我们目前正在开发
一个完全基于
AJAX的应用程序,它将通过RESTful API与服务器进行交互.我已经考虑过防范针对API的XSRF攻击的潜在方案.
>用户验证并接收
会话cookie,也是
每次请求双重提交.
>我们在中实施OAuth使用者
Javascript,检索令牌时
用户登录并签名
请求带有该令牌.
我倾向于OAuth方法,主要是因为我想提供第三方访问我们的API,而不是必须实现两种身份验证方案.
有没有理由说OAuth消费者在这种情况下无法工作?
大多数AJAX库将设置
一个额外的
标题“X-Requested-With:XMLHttpRequest”,这在基本的XSRF攻击中很难伪造(尽管如果与XSS结合可能).如果您希望所有请求都是AJAX,那么验证此标头是否存在是
一个很好的纵深防御策略.
