OWASP CheatSheetSeries：通过禁用简单请求防御CSRF攻击

在OWASP CheatSheetSeries项目中，关于跨站请求伪造(CSRF)防护的最佳实践部分，有一个值得深入探讨的技术点：通过配置API拒绝简单请求(simple requests)来增强安全性。这种方法特别适用于现代不使用表单的API应用场景。

简单请求是指那些不会触发CORS预检请求的HTTP请求。根据规范，当请求使用特定内容类型(如application/x-www-form-urlencoded、multipart/form-data或text/plain)时，浏览器会将其视为简单请求。这类请求不会触发预检机制，使得CSRF攻击更容易实施。

对于现代API设计，特别是基于JSON的API，开发者可以采取以下防御措施：

1. 强制使用非简单内容类型：要求所有请求必须使用application/json内容类型。这会强制浏览器执行CORS预检检查，从而有效阻止跨域CSRF攻击。

2. 服务器端内容类型验证：在API服务器或反向代理层配置严格的请求内容类型检查，拒绝任何不符合要求的简单请求类型。

3. 与自定义请求头技术结合：虽然强制使用JSON内容类型已经能确保请求不是简单请求，但添加自定义请求头可以提供额外的安全层。不过，这种方法需要客户端额外的工作来确保所有请求都包含该头部。

相比传统的CSRF令牌方法，这种技术有以下优势：

• 对JSON API无需客户端额外工作
• 简化了安全实现，减少了令牌管理的复杂性
• 与CORS策略形成互补防御

实施时需要注意，这种方法主要适用于API场景，对于传统的表单提交仍需依赖CSRF令牌等其他防护机制。同时，开发者应确保API网关或反向代理正确配置了内容类型检查规则。

这种防御方式体现了现代Web安全设计中"默认安全"的原则，通过合理利用浏览器安全机制，在不增加过多开发负担的情况下提升应用安全性。