为什么使用CSRF令牌的请求标头?

时间:2014-05-04 10:49:54

标签: javascript php ajax

要在AJAX呼叫中发送CSRF令牌,某些站点建议在请求标头中发送它。

我想知道为什么。使用POST变量发送它有什么好处?

是否有充分理由在标题中发送内容?

1 个答案:

答案 0 :(得分:-2)

根据我的经验,CSFR令牌始终是过期时间,因此使用cookie成为设置过期时间的最佳媒介。

wikipedia所述,CSFR漏洞基于伪造链接/请求。 使用POST / GET参数传输哈希允许更容易的利用。 而是将哈希放在标题中,即cookie(如果DNS未被劫持,则无法在域外设置),提供更强大的保护。