2
如果我的Ajax請求設置了X-Requested-With標題,如果此標題存在,我可以跳過CSRF檢查嗎?我可以確定它不能被僞造(用戶會話)嗎?Ajax是否要求CSRF安全?
A
回答
3
只要你沒有一個開放的crossdomain.xml(你可能有這個B/C你在你的網站上託管Flash內容?),或者你的訪問者有舊的瀏覽器;你應該比較安全。儘管我會推薦使用「crumb」-token(cookie中的隨機值和請求中的相同值)。這個b/c閃光燈可能會設置X-Requested-With,我認爲舊的IE版本可以讓你也這樣做(雖然不確定這一點)。
「我可以跳過CSRF檢查嗎?」我假設你參考了這個crumb/token? B/c檢查X-Requested-With是一種檢查CSRF的方法。
由於這個標頭是可選的瀏覽器可能並不總是發送它,並且根據this page他們似乎不通過SSL。
0
相關問題
- 1. csrf安全塊http請求
- 2. 從ajax響應中獲取新的csrf哈希令牌是否安全?
- 3. 是否Ajax與HTTP請求一樣安全
- 4. AJAX請求的安全
- 5. php安全和ajax請求
- 6. 多ajax請求和安全
- 7. 是否通過API(未嵌入HTML)檢索CSRF令牌安全/安全?
- 8. 聲明式安全要求 - SecurityAction.Demand是否緩存?
- 9. CSRF Guard對Grails AJAX請求
- 10. 在Ajax請求中的CSRF
- 11. 澄清有關要求該類安全是異常安全
- 12. ASP.NET MVC 4 Beta編輯器模板是否對CSRF安全?
- 13. 是否需要CSRF保護免於副作用的GET請求?
- 14. 是否有必要保護針對CSRF的JAX-RS請求?
- 15. 您是否需要XSRF/CSRF令牌來註銷註銷請求?
- 16. Sharekit Facebook安全要求
- 17. Spring安全性CSRF CORS
- 18. 春季安全csrf爲空
- 19. csrf令牌,安全問題?
- 20. CSRF令牌春季安全
- 21. 春季安全CSRF保護
- 22. 安卓:是否IntentService按要求工作要求或同時
- 23. 是否需要CSRF保護以防OAUTH2
- 24. 我是否需要WinForms的CSRF令牌?
- 25. ConcurrentHashMap是否完全安全?
- 26. Context.MODE_PRIVATE是否安全?
- 27. const_cast是否安全?
- 28. BrowserID是否安全?
- 29. Locale.setDefault()是否安全?
- 30. Titanium.App.Properties是否安全