Моя команда создает сайт, который использует вызовы AJAX для служб WCF для всех изменений состояния. Эти службы принимают только запрос, если его методом является POST, а его Content-Type - «application/json». Предполагая, что наш сайт не имеет уязвимостей XSS, является ли это достаточной защитой от CSRF для наших служб WCF? Возможно ли, чтобы злоумышленник создал POST межсайтового сайта с настраиваемым заголовком Content-Type?Требует ли POST плюс пользовательский Content-Type предотвратить CSRF?
[EDIT] Очевидно, что существует несколько способов для злоумышленника стороннего сайта создать HTTP POST-запрос на мой сайт. Однако, насколько мне известно, ни один из этих методов не позволяет изменять заголовок Content-Type. XHR и Flash позволяют вам устанавливать заголовки, но имеют строгие ограничения между сайтами.