x-requested-with标题让我感到困惑。我知道它可以用来防御CSRF攻击,并且它用于识别Ajax调用......但它究竟是什么?
它只是告诉你请求是什么......请求?
是否存在合理的情况,其中标题存在但设置为" XMLHttpRequest"以外的某个值?我想是这样,但我从来没有看到过这一切。
答案 0 :(得分:0)
就像User-Agent标题一样,它由客户提供,可以包含任何内容。
任何服务器端安全检查都不可靠。
答案 1 :(得分:0)
对于使用WebView组件将浏览器嵌入其UI的第三方应用,Android将X-Requested-With设置为该应用的程序包ID。
大概可以将其用于调试和/或统计,但是值不能被信任,因为攻击者有可能编写一个自定义客户端,将其设置为任何目的以试图破坏服务器。