0
我的团队正在构建一个网站,该网站使用AJAX调用WCF服务进行所有状态更改。如果这些服务的方法是POST,并且它的Content-Type是'application/json',那么这些服务只接受一个请求。假设我们的网站没有XSS漏洞,这是否足以抵御我们的WCF服务的CSRF?攻击者是否可以使用自定义Content-Type头创建跨站点POST?是否需要POST加定制Content-Type防止CSRF?
[编辑] 显然有几种方法让恶意第三方网站构建HTTP POST请求到我的网站。据我所知,但是,这些方法都不允许更改Content-Type标头。 XHR和Flash都允许您设置标题,但有严格的跨网站限制。