CORS OriginヘッダーとCSRFトークンを使用したCSRF保護

xHRではこれが不可能であることを知ってください（たとえば、クロスオリジンリソース共有のセキュリティを参照）。少なくとも、すべての最新のブラウザーでW3C仕様が正しく実装されていると信じている場合は可能です（できますか？）

結局のところ、ユーザーのデータを安全に保存し、セッションのクライアント側を保護するには、クライアントブラウザーを「信頼」する必要があります。クライアントブラウザーを信頼していない場合は、静的コンテンツ以外のWebの使用をまったく停止する必要があります。 CSRFトークンを使用している場合でも、クライアントブラウザが Same Origin Policy に正しく従うことを信頼しています。

IE 5.5/6. のような以前のブラウザの脆弱性がありましたが、攻撃者は同じオリジンポリシーをバイパスして攻撃を実行することができましたが、通常はすぐにパッチが適用されると期待できます発見され、ほとんどのブラウザが自動的に更新されるため、このリスクはほとんど軽減されます。

しかし、他の種類のリクエストについてはどうでしょう-例えばフォーム送信？ script/img/...タグを読み込んでいますか？または、ページが（合法的に）リクエストを作成するために使用できる他の方法はありますか？または、既知のJSハックがありますか？

Originヘッダーは通常、XHRクロスドメインリクエストに対してのみ送信されます。画像リクエストにはヘッダーが含まれていません。

注：私は話していません

• ネイティブアプリケーション、

• 操作されたブラウザ、

• example.comのページのクロスサイトスクリプティングのバグ、

これが操作されたブラウザに該当するかどうかはわかりませんが、 Flashの古いバージョン は、攻撃者が偽のrefererヘッダーでリクエストを送信できる任意のヘッダーを設定できました攻撃を実行するために被害者のマシンから。