3
添加自定義標題AFAIK這是不可能設置一個頭字段時,形式submited,它只能在阿賈克斯完成請求非阿賈克斯後
這個問題還指出,這是不可能的:
但是看完Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet它提到:
加密的令牌模式
概述
加密的令牌模式利用的加密,而不是比較 ,令牌驗證的方法。在成功的 認證之後,服務器使用僅在服務器上可用的唯一密鑰 生成由 用戶ID,時間戳值和隨機數組成的唯一令牌。該令牌返回給客戶端,並在隱藏字段中嵌入 。隨後的AJAX請求在 請求標頭中包含此令牌,方式與雙提交模式類似。 基於非AJAX格式的請求將隱式地將令牌保留在其隱藏字段中,儘管我建議在這種情況下將這些數據保存在 自定義HTTP標頭中。收到此請求後, 服務器使用與用於創建令牌的 相同的密鑰讀取並解密令牌值。
這句話讓我困惑:
我推薦一個自定義HTTP標頭堅持這個數據在這種情況下
任何人都可以擺脫一些關於它的光?