当前位置：文江博客话题详情

Ajax 请求 CSRF 安全吗？

发布于 2024-08-23 22:26:47 字数 87 浏览 6 评论 0原文

如果我的 Ajax 请求设置了 X-Requested-With 标头，如果该标头存在，我可以跳过 CSRF 检查吗？我可以确定它不能被伪造（通过用户会话）吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

亂 2024-08-30 22:26:47

只要您没有完全开放的 crossdomain.xml（您可能有这个 b/c，您在网站上托管 Flash 内容？）或者您的访问者使用的是旧浏览器；你应该比较安全。尽管我建议使用“crumb”令牌（cookie 中的随机值和请求中的相同值）。这个 b/c flash 可能会设置 X-Requested-With，我认为旧的 IE 版本也允许你这样做（但不确定这一点）。

对于“我可以跳过 CSRF 检查”，我假设您指的是这个 crumb/token 吗？ B/c 检查 X-Requested-With 是一种检查 CSRF 的方法。

由于此标头是可选的，浏览器可能并不总是发送它，并且根据此页面他们似乎不是通过 SSL 来实现的。

回复收藏 0 原文