除了POST和GET之外,http方法是否不需要xsrf标记?
除了POST和GET之外,HTTP方法是不需要XSRF标记的。
XSRF(跨站请求伪造)是一种攻击方式,攻击者通过伪造用户的请求,使得用户在不知情的情况下执行了恶意操作。为了防止XSRF攻击,常见的做法是在表单提交中添加一个隐藏字段,该字段包含一个随机生成的token,服务器在接收到请求时会验证该token的有效性。
然而,XSRF攻击主要是利用了浏览器的同源策略,而HTTP方法并不受同源策略的限制。因此,除了POST和GET这两种常见的HTTP方法,其他HTTP方法(如PUT、DELETE、HEAD等)并不需要XSRF标记。
虽然其他HTTP方法不需要XSRF标记,但在实际开发中,为了增加安全性,仍然建议对所有的请求进行合理的验证和授权。可以使用一些安全性较高的认证机制,如OAuth、JWT等,来确保请求的合法性。
总结起来,除了POST和GET之外的HTTP方法不需要XSRF标记,但为了保证系统的安全性,仍然需要对所有的请求进行合理的验证和授权。
腾讯云相关产品和产品介绍链接地址:
相关·内容
这个问题很简单,但我在任何地方都找不到答案…
如果我将登录用户的操作设置为通过get或post以外的http方法执行,那么有关sop或cors的javascript http请求是唯一使用凭据执行这些操作的方法
浏览 8提问于2018-01-27得票数 0
在下面的代码中可以看到,我有一个用于注册的GET,它将其工作委托给POST。class RegistrationHandler(tornado.web.RequestHandler): s = """2012-10-15 11:27:49,377 - root - INFO - 304 GET&#x
浏览 2提问于2012-10-15得票数 15
回答已采纳
3回答
发布表单时的post与put
、、、、
在评估表单是否已提交时,我检查该方法是否为post,而不是get。有人告诉我,这是一个很好的方法,可以知道表单是通过单击提交按钮提交的,而不仅仅是由在url中传递数据的脚本提交的。"put“方法怎么样?它看起来非常类似于"post“。是否可以或多或少地使用它来代替"post“,而不会对"post”提供的好处造成太大损失?
浏览 1提问于2010-11-07得票数 2
1回答
我是AngularJS和PythonTor旋风的新手,目前正在进行CSRF/XSRF检查。, data) { .then(并在从JavaScript发出POST请求时设置标题。但是当POST请求验证toke时,我得到了"XSR
浏览 1提问于2015-08-10得票数 2
回答已采纳
我的设置是nginx为静态文件提供api调用的expressjs和angularjs前端。所有对/api/*的调用都发送给express,其他任何调用都由nginx处理。我有我的登录系统设置和工作正常(没有csrf保护)。我在这里使用了示例( ),但我一直被禁止使用403。(有时登录会起作用,直到我注销并重新登录)。(config.app.prefix+'/member/get-data.json',restrict,member.getData);
app.post</
浏览 1提问于2013-11-28得票数 0
ApiController中的方法名似乎映射到了Uri。如果我想要一个执行如下命令的方法呢?批处理文件..如ExecuteProcess1();
这不需要返回任何业务价值的任何值。它只是让客户端随意触发,这在我的web服务中哪里适合呢?该方法应该被调用什么?
浏览 0提问于2013-02-19得票数 0
回答已采纳
由于我们在使用JSONP时仅限于获取请求,所以可以使用GET请求向API发送登录凭据(用户名/密码)吗?谢谢!
浏览 0提问于2013-08-19得票数 1
回答已采纳
3回答
我对此真的很困惑 这是控制器 namespace App\Http\Controllers; use App\Models\DaftarPelanggan; use \Illuminate\Http\Response; use'addKategori'], return redirect(
浏览 17提问于2020-11-30得票数 0
回答已采纳
如果我将登录用户的操作设置为通过GET或POST以外的HTTP方法执行,那么尊重相同的原产地策略(SOP)或跨源资源共享(CORS)的Javascript请求是使用凭据执行这些操作的唯一方法,不是吗?
浏览 0提问于2018-01-27得票数 2
回答已采纳
我有这些映射:public void get(@RequestParam("test") String test) {public void put(@RequestParam("test") String test) {}
除了GetMapping和PostMappi
浏览 0提问于2018-04-19得票数 2
为了使授权和资源服务器能够正确地使用Laravel5,从$middleware数组中删除App\Http\Middleware\VerifyCsrfToken行并将其放置在$routeMiddleware数组中,如下所示:'csrf' => App\Http\Middleware\VerifyCsrfToken::class,
注意:请记住在任何合适的路由上手动添加csrf中间件。另外,我不能使用会话,因为我不需要登录访问API。
浏览 1提问于2016-10-04得票数 2
ValidateAntiForgeryToken保护的API,这是我的后端代码: tokens = antiforgery.GetAndStoreTokens(context);
context.Response.Cookies.Append("XSRF-TOKENAngularJS应用程序上设置,我已经通过将WithCredentials设置为tr
浏览 5提问于2017-03-12得票数 1
"HEAD", String.class);但是,我无法从响应中读取标头,因为我收到了HTTP我的解决方法是从RestTemplate抛出HttpClientErrorException的异常中读取令牌。如下所示:for (String header : headers) {
if (
浏览 10提问于2017-08-01得票数 2
根据CSURF文档:http://expressjs.com/en/resources/middleware/csurf.html,如何在Postman中设置一个工作服务器来测试CSURF
浏览 90提问于2021-01-21得票数 1
回答已采纳
我的应用程序中有一些像http://mysite.com/module/45/set_name/new-name这样的URL,可以使用ajax进行访问。为了防止XSRF,我强制这样的请求是POST请求。对于GET,使用以下方法生成XSRF非常简单:
<img src="http://mysite.com/module/45/set_name&#x
浏览 6提问于2011-03-13得票数 5
回答已采纳
1回答
我正在使用烬-简单-auth和一个自定义身份验证器的HTTP基本登录与CSRF保护。一切正常,除了有时我的还原方法会解决应该失败的时间,就像会话到期时一样。当身份验证成功时,我使用csrf令牌进行解析,但是当令牌或会话过期并刷新页面时,解决方法仍然成功,因为我所做的只是检查令牌是否仍然存在(而不是它是否有效)。我知道这是错误的,所以我想我的问题是什么是正确的方法来处理这件事?我是否也应该使用会话id进行解析?我是否应
浏览 4提问于2017-01-26得票数 0
回答已采纳
//App.jsvar cors = require('cors'); });下面是我试着贴到的路线router.post('/checkEmail中使用的方法</em
浏览 1提问于2018-04-26得票数 0
回答已采纳
3回答
.then(response => {一旦初始化了CSRF保护,就应该向典型的Laravel /login路由发出POST请求。这是否意味着,对于我提出的每一个请求,我应该首先检查cookie是否已经设置好了?因为假设我有一个注册用户。在发出POST请求注册用户之前,我应该先发出一个GET请求,从我的后端获取Cookie,然后发出POST请求来注册用户。
现在,用户被重定向到登录网页,并被要求登录。前端是否<
浏览 13提问于2020-03-21得票数 9
回答已采纳
': '***', }
s.post('http://www.zhihu.com/login', login_data)
r = s.get('http://www.zhihu.com')r = s.g
浏览 3提问于2014-02-03得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
