JSON Web服务是否容易受到CSRF攻击？

我正在构建一个仅将JSON用于其请求和响应内容的Web服务（即，没有表单编码的有效负载）。

如果满足以下条件，Web服务是否容易受到CSRF攻击？

1. POST没有顶级JSON对象（例如）的任何请求{"foo":"bar"}都将被400拒绝。例如，POST带有内容的请求42将因此被拒绝。

2. POST内容类型以外的任何请求application/json都将被400拒绝。例如，POST内容类型的请求application/x-www-form-urlencoded将因此被拒绝。

3. 所有GET请求都是Safe，因此不会修改任何服务器端数据。

4. 客户端通过会话cookie进行身份验证，在客户端通过POST使用JSON数据（例如）提供正确的用户名/密码对后，Web服务会为客户端提供会话cookie {"username":"user@example.com", "password":"my password"}。

补充问题：是PUT和DELETE要求日益容易受到CSRF？我问是因为大多数（全部？）浏览器似乎都不允许以HTML形式使用这些方法。

编辑：添加了项目＃4。

编辑：到目前为止，很多好评论和答案，但是没有人提供此Web服务容易受到的特定CSRF攻击。

锻造任意介质类型任意CSRF请求实际上是唯一可能与XHR，因为窗体的方法仅限于GET和POST和形式的POST邮件正文也只限于三种格式application/x-www-form-urlencoded，multipart/form-data和text/plain。但是，使用表单数据编码text/plain，仍然可以伪造包含有效JSON数据的请求。

因此，唯一的威胁来自基于XHR的CSRF攻击。而且只有当它们来自相同的来源时，它们才会成功，因此基本上是从您自己的站点（例如XSS）获得的。注意不要误将禁用CORS（即不设置Access-Control-Allow-Origin：*）作为保护。CORS只是阻止客户读取响应。整个请求仍由服务器发送和处理。

是的，有可能。您可以设置攻击者服务器，该服务器将向目标服务器发送回307重定向到目标服务器。您需要使用flash发送POST而不是使用Form。

参考：https : //bugzilla.mozilla.org/show_bug.cgi?id=1436241

它也可以在Chrome上使用。

可以使用Ajax对基于JSON的Restful服务进行CSRF。我在应用程序（使用Chrome和Firefox）上对此进行了测试。您必须将contentType更改为text / plain，将dataType更改为JSON才能使用预检请求。然后，您可以发送请求，但是为了发送会话数据，需要在ajax请求中设置withCredentials标志。我在这里对此进行了更详细的讨论（包括参考文献）：

http://wsecblog.blogspot.be/2016/03/csrf-with-json-post-via-ajax.html

关于第3点，我有一些疑问。尽管由于它不会更改服务器端的数据而被认为是安全的，但仍然可以读取数据，并且存在被窃取的风险。

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx/

如果满足以下条件，Web服务是否容易受到CSRF攻击？

是。仍然是HTTP。

PUT和DELETE请求是否容易受到CSRF的攻击？

是

似乎大多数（所有？）浏览器都不允许HTML形式的这些方法

您是否认为浏览器是发出HTTP请求的唯一方法？