标签: javascript php ajax
要在AJAX呼叫中发送CSRF令牌,某些站点建议在请求标头中发送它。
我想知道为什么。使用POST变量发送它有什么好处?
是否有充分理由在标题中发送内容?
答案 0 :(得分:-2)
根据我的经验,CSFR令牌始终是过期时间,因此使用cookie成为设置过期时间的最佳媒介。
如wikipedia所述,CSFR漏洞基于伪造链接/请求。 使用POST / GET参数传输哈希允许更容易的利用。 而是将哈希放在标题中,即cookie(如果DNS未被劫持,则无法在域外设置),提供更强大的保护。