表单

今天，我和一位同事正在研究一个应用程序，该应用程序与许多其他现代Web应用程序一样，提供了RESTful API，其中JSON被用于对请求/响应进行序列化。她指出，该应用程序未包含任何CSRF令牌，并且似乎未将任何标头（X-Requested-With，Referer，Origin等）用作“穷人的CSRF令牌”，但因......

虽然今天HTTPS被广泛采用，但安全页面上的HTTP内容仍然存在。谷歌一直在努力杜绝这种情况，Chrome现在正将注意力转向不安全的表单，并对其发出警告。 这些“混合表单”(HTTPS网站上不在HTTPS上提交的表单)对用户的安全和隐私构成了风险。窃听者可以看到在这些表单上提交的信息，从而允许恶意方读取或更改敏感表单......