我们已经接管了一个遗留应用,并希望开始为它编写单页应用程序组件。
我们了解两种最常见的攻击媒介是XSS和CSRF。
鉴于此应用程序使用Session Cookie样式身份验证,我们将在会话cookie上启用HTTPOnly cookie(以保护其免受XSS攻击)。
但是我对处理CSRF攻击感到有点困惑。
目前该应用会生成一个隐藏的令牌'在每个表单POST请求中,当请求返回到服务器时,会对会话进行双重检查。
但是我们现在有数百个JSON Ajax调用,现在单个表单帖子无关紧要。
我们希望生成一个CSRF令牌,并且只是在每个AJAX请求的标头中继续传递它。但这实际上会起作用吗?
如果我们只是在登录时生成一个XSRF令牌,然后只是在每个请求(在标题中)中继续传递它,我们可以期望它被归类为安全吗?