因此,如果我们决定使用自定义标头验证作为CSRF保护的选项,并且如果我们需要使用除“X-Requested-By”之外的其他一些自定义标头,那么最好的方法是什么
答案 0 :(得分:1)
从CsrfProtectionFilter的源代码中,要验证的标头被定义为私有静态变量。因此无法更改标头以进行验证。
private static final String HEADER_NAME = "X-Requested-By";
坚持标准并使用X-Requested-By是很好的 但是,如果你想验证一个单独的标题,你需要编写自己的过滤器,这很容易。只需复制class并更改标题(不推荐使用)