Моя команда создает сайт, который использует вызовы AJAX для служб WCF для всех изменений состояния. Эти сервисы принимают запрос только в том случае, если их методом является POST, а Content-Type - application / json. Если предположить, что на нашем сайте нет уязвимостей XSS, является ли это достаточной защитой от CSRF для наших служб WCF? Возможно ли для злоумышленника создать межсайтовый POST с настраиваемым заголовком Content-Type?
[EDIT]
Очевидно, что злонамеренный сторонний сайт может создать HTTP-запрос POST для моего сайта несколькими способами. Однако, насколько мне известно, ни один из этих методов не позволяет изменять заголовок Content-Type. XHR и Flash позволяют устанавливать заголовки, но имеют строгие межсайтовые ограничения.