如果我的Ajax请求设置了X-Requested-With标头,我是否可以跳过CSRF检查是否存在此标头?我可以确定它不能伪造(使用用户会话)吗?
答案 0 :(得分:3)
只要你没有一个大开放的crossdomain.xml(你可能有这个b / c你在你的网站上托管flash内容吗?)或者你的访问者有旧的浏览器;你应该相当安全。虽然我建议使用“crumb”-token(cookie中的随机值和请求中的相同值)。这个b / c闪存可以设置X-Requested-With,我认为旧的IE版本允许你这样做(虽然不确定)。
使用“我可以跳过CSRF检查吗”我假设你引用这个crumb / token? B / c检查X-Requested-With是一种检查CSRF的方法。
由于此标头是可选的,因此浏览器可能无法始终发送它,并且根据this page,它们似乎不会通过SSL执行此操作。
答案 1 :(得分:0)