在GET APIs中不加入CSRF保护的原因是因为GET请求应该是幂等的,即多次相同的GET请求对服务器的状态不应该有任何影响。CSRF(Cross-Site Request Forgery)攻击是指攻击者利用受害者在已登录的情况下,通过伪造请求来执行非法操作,而GET请求通常是用于获取资源或数据,不会对服务器状态进行修改,因此不太容易受到CSRF攻击。
CSRF保护通常是通过在请求中添加一个随机生成的token来实现的,服务器会验证该token是否合法。然而,在GET请求中添加CSRF保护可能会导致一些问题:
综上所述,由于GET请求通常是幂等的,不会对服务器状态产生影响,因此在GET APIs中不加入CSRF保护是合理的。然而,对于涉及到修改服务器状态的请求,如POST、PUT、DELETE等,应该始终加入CSRF保护来防止CSRF攻击的发生。
领取专属 10元无门槛券
手把手带您无忧上云