Возможно ли кросс-Site Request Forgery в отношении службы RESTful без имени?
Я не говорю о псевдо-REST, где сервер помнит, что вы вошли в систему через файл cookie. Я говорю о чистом no-application-state-on-server REST без файлов cookie.
Я использую SSL и базовую аутентификацию. Для каждого запроса должен быть этот заголовок авторизации. В смысле JSP нет "сеанса", хотя на уровне SSL есть какой-то сеанс.
Итак, позвольте предположить, что я просматриваю законную веб-страницу, которая делает запросы Ajax, и каким-то образом я перехожу на другую страницу на той же вкладке или на другой вкладке, и эта страница делает тот же запрос Ajax. (Я предполагаю, что на законной веб-странице нет вредоносного кода, что в этом случае совершенно другое и что-то возможно.)
Когда вторая страница делает запрос Ajax, браузер будет помещен в тот же заголовок авторизации? т.е. браузер скажет: "О, ты хочешь пойти ТАМ снова? Эй, у меня просто все еще есть ключ!"
Кроме того, не удалось ли вредоносный script выполнить запрос xhr, а затем в обратном вызове выполнить запрос из ioargs, получить заголовок авторизации и un-Base64 имя и пароль?