开发者社区> 问答> 正文

怎么操作能够通过在在HTTP 头中自定义属性并验证来避免CSRF攻击?

怎么操作能够通过在在HTTP 头中自定义属性并验证来避免CSRF攻击?

展开
收起
爱喝咖啡嘿 2021-10-26 16:18:32 681 0
1 条回答
写回答
取消 提交回答
  • 这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。

    2021-10-26 16:18:52
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
阿里巴巴HTTP 2.0实践及无线通信协议的演进之路 立即下载
CDN助力企业网站进入HTTPS时代 立即下载
低代码开发师(初级)实战教程 立即下载