Backbone.js处理将数据发布到服务器的引擎盖下,所以没有简单的方法在有效载荷中插入一个CSRF令牌.在这种情况下,如何保护我的网站免于CSRF?
在这个SO答案中:https://stackoverflow.com/a/10386412/954376,建议是将x-Requested-By标头验证为XMLHTTPRequest.这是否足以阻止所有CSRF尝试?
在Django文档中,建议是在每个AJAX请求的另一个自定义头文件中添加CSRF令牌:https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.这是必要的吗?
我明白攻击是否使用隐藏的形式,只要保证来自XMLHTTPRequest的请求,我就是安全的.但是有没有任何可以伪造标题的CSRF攻击技巧?
解决方法
原文地址:https://www.jb51.cc/js/153272.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
