GET请求能用来提交敏感操作吗?CSRF怎么防?
我最近在做用户删除功能,后端同事说用GET请求删数据没问题,但我听说GET不应该用来做状态修改的操作。现在有点懵,到底能不能用GET?如果必须用POST,那在Vue里怎么加CSRF token啊?
我试过在axios里全局加header,但后端还是报CSRF token missing。这是我的删除按钮代码:
<template>
<button @click="deleteUser">删除用户</button>
</template>
<script>
export default {
methods: {
async deleteUser() {
// 当前用的是GET,但感觉不对
await this.$http.get('/api/user/delete?id=123');
}
}
}
</script>是不是应该改成POST?那CSRF token要怎么传?放在header还是body里?求指点!
- 1
回答
37浏览
GET请求里放修改操作会被CSRF攻击吗?
我最近在做用户设置页面,不小心把“删除草稿”功能写成了GET请求,类似点个链接就删了。后来听说这样会有CSRF风险,但我不太确定是不是真的有问题? 比如下面这种写法: <a href="/api...
- 2
回答
43浏览
GET请求能用来提交敏感操作吗?CSRF防护怎么处理?
最近在写一个删除用户的功能,后端同事说要用 POST,但我图省事直接用 GET 发了个带 token 的链接,结果被安全扫描工具报了 CSRF 风险。不是已经有 token 了吗?为啥 GET 还不行...
- 2
回答
51浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 2
回答
37浏览
GET请求里带操作参数会被CSRF攻击吗?
我最近在做用户删除功能,后端同事说不能用GET请求做删除,但我看有些老接口还是用GET传id删数据。现在我用React写了个按钮,点一下就发GET请求删用户,但安全扫描工具报了CSRF风险,这到底是不...
- 1
回答
42浏览
前端如何配合后端做好CSRF防护?状态变更操作总被拦截怎么办?
我们项目里用的是 cookie + CSRF token 的方案,后端要求所有修改数据的请求(比如 POST、PUT)都必须带一个叫 X-CSRF-Token 的 header。但我发现每次提交表单时...
- 2
回答
43浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
51浏览
Vue表单提交时CSRF令牌未被服务端正确验证怎么办?
我在用Vue做用户资料编辑页时,按照文档给POST请求加了CSRF令牌,但后端总返回403错误。明明在表单里加了隐藏字段,代码也按规范写了,到底是哪里出问题呢? <template> &l...
- 2
回答
52浏览
Vue项目CSRF防护时验证请求头总失败怎么办?
我在Vue项目里用axios发请求时设置了X-CSRF-Token头,但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了,代码是这样的: <script> ...
- 2
回答
39浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 2
回答
89浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
GET别用来改数据,这行不通。就这么简单。