我现在正在Ring Anti Forgery工作,以防止该网站遭受CSRF攻击。现在我怀疑是否应该将标记作为标题字段或AJAX请求的post
值传递,因为它们似乎都有效。
在文档上说:
中间件还在X-CSRF-Token中查找令牌 X-XSRF-Token头字段,通常用于AJAX请求。
将它设置为我的标题字段的缺点是我必须将每个Jquery $.post
更改为简单的$.ajax
,以便我可以设置标题。
e.g。
$.ajax({
url: "url",
type: "post",
data: {
username: username,
sender: sender
},
headers: {
"X-CSRF-Token": X_CSRF_Token,
}
});
VS
$.post( "url", { username: username, sender: sender, '__anti-forgery-token': X_CSRF_Token})
.done(function( data ) {
// done
});
是否需要将每个jQuery $.post
更改为$.ajax
,以便将防伪令牌设置为标题字段?