0
根據this article,驗證jQuery發送的AJAX請求的X-Requested-With標頭就足夠了。所以在這種情況下,沒有必要實現令牌?如果我使用jQuery發送AJAX請求並僅驗證它們是否具有X-Requested-With,那麼應用是否足以抵禦CSRF攻擊?
如果是,那麼在哪裏定義跨瀏覽器請求是不允許的?
在此先感謝。
根據this article,驗證jQuery發送的AJAX請求的X-Requested-With標頭就足夠了。所以在這種情況下,沒有必要實現令牌?如果我使用jQuery發送AJAX請求並僅驗證它們是否具有X-Requested-With,那麼應用是否足以抵禦CSRF攻擊?
如果是,那麼在哪裏定義跨瀏覽器請求是不允許的?
在此先感謝。
文章本身說,這種方法是不夠的:
警告
防止在這個崗位 描述CSRF攻擊的方法,現在被認爲是不夠的。對這篇文章的評論鏈接到 關於規避它的攻擊的更多細節。
感謝您的評論。實際上,當我閱讀這篇文章時,並沒有提到這個漏洞。 – nakajuice
哈哈,亞,它看起來像事後編輯X-D –