2
我現在正在Ring Anti Forgery上工作,以防止網站受到CSRF攻擊。現在我不確定是否應該將標記作爲標題字段或作爲AJAX請求上的值傳遞,因爲它們似乎都起作用。將防僞標記作爲標題字段還是作爲AJAX的Post值?
在它說DOC:
中間件也尋找在X-CSRF令牌和 X-XSRF令牌頭字段,令牌它們通常在AJAX請求中使用。
將其設置爲我的上側的頭字段的缺點是,我必須每jQuery的$.post更改爲一個簡單的$.ajax,所以我可以設置標題。
例如
$.ajax({
url: "url",
type: "post",
data: {
username: username,
sender: sender
},
headers: {
"X-CSRF-Token": X_CSRF_Token,
}
});
與
$.post("url", { username: username, sender: sender, '__anti-forgery-token': X_CSRF_Token})
.done(function(data) {
// done
});
是否有必要對我來說,每一個jQuery的$.post更改爲$.ajax,所以我可以設置防僞造標記爲標題字段?