Возможна ли подделка межсайтовых запросов для службы RESTful без сохранения состояния?
Я не говорю о псевдо-REST, когда сервер запоминает, что вы вошли в систему через cookie. Я говорю о чистом REST без состояния приложения на сервере без файлов cookie.
Я использую SSL и базовую аутентификацию. Для каждого запроса должен присутствовать этот заголовок авторизации. В смысле JSP нет «сеанса», хотя есть какой-то сеанс на уровне SSL.
Итак, давайте предположим, что я просматриваю законную веб-страницу, которая делает запросы Ajax, и каким-то образом я перехожу на другую страницу на той же вкладке или на другой вкладке, и эта страница выполняет тот же запрос Ajax. (Я предполагаю, что на законной веб-странице нет вредоносного кода; это совсем другое дело, и в этом случае возможно все.)
Когда вторая страница сделает запрос Ajax, будет ли браузер использовать тот же заголовок авторизации? то есть браузер скажет: «О, ты хочешь пойти СЮДА еще раз? Эй, просто случайно у меня все еще есть ключ!»?
Кроме того, не мог ли вредоносный сценарий выполнить запрос xhr, а затем в обратном вызове принять запрос от ioargs, получить заголовок авторизации и отключить имя и пароль от Base64?