대부분의 CSRF 솔루션은 CSRF 토큰이 POST 데이터의 일부로 보내야한다고 주장하는 것 같습니다.CSRF 토큰을 본문 또는 헤더로 보낼 수있는 보안 위험이 있습니까?
내 상황에서 보내지는 데이터는 json이고 보내지는 것을 제어하지 않습니다 (그리고 나는 json으로 엉망이되고 싶지 않습니다). 그래서 CSRF 토큰을 헤더로 보내려합니다. 그러나 본문에 토큰을 보낼 수 있어야하는 기존 응용 프로그램 부분 (예 : html 양식 제출)이 있습니다.
그래서 유효한 CSRF 토큰이 본문 또는 헤더에있는 경우 내 CSRF 보호가 요청을 허용해야합니다. 이것은 토큰이 본문에 있다고 주장하는 것에 비해 보안 위험입니까?
[security.se]이 질문에 더 나은 선택 일 수 있습니다. – CodesInChaos