GraphQL和CSRF保护

我读了很多：

https://github.com/pillarjs/understanding-csrf

https://security.stackexchange.com/questions/10227/csrf-with-json-post

JSON Web服务是否容易受到CSRF攻击？

（ApolloServer站点上没有任何内容：https ://www.apollographql.com/docs/apollo-server/ ）

但是，我还无法理解我们的端点（// graphql）是否受到这种类型的攻击的保护，或者是否有必要使用以下解决方案来保护它：https : //github.com/expressjs/csurf。

我不清楚的是在这里：https : //github.com/pillarjs/understanding-csrf他们说：

当您错误地使用CSRF令牌时：...将它们添加到JSON AJAX调用中如上所述，如果您不支持CORS并且您的API严格是JSON，则将CSRF令牌添加到您的AJAX调用中绝对没有意义。

如果我们将端点限制为仅使用Content-Type: application/json，那么我们安全吗？

如果我们限制端点仅使用Content-Type：application / json，我们安全吗？

JSON不能不受CSRF攻击的影响（但需要为攻击者做些额外的工作），并且通过扩展，如果配置不当，GraphQL也不会。如果将其分解为请求/响应，则CSRF的通常情况将在此处适用：

受害者使用您的GraphQL Web服务进行身份验证。

攻击者将恶意链接发送给受害者。

受害者单击链接并访问攻击者的恶意网站。

攻击者的网站使用受害者COOKIE发送JSON请求。

Web Service接收带有有效会话令牌/ COOKIE的JSON请求，并且功能在受害者不知情的情况下运行。

在这种情况下，您的服务容易受到CSRF的攻击。确保将CORS配置为仅允许来自受信任域的白名单的请求，并确保正在使用CSRF令牌。实施多种保护将降低成功攻击的风险。

以下链接更加详细，您甚至可以自己尝试：https : //blog.appsecco.com/exploiting-csrf-on-json-endpoints-with-flash-and-redirects-681d4ad6b31b

这个答案也很重要： JSON Web服务是否容易受到CSRF攻击？