0

根据这篇文章,验证 jQuery 发送的 AJAX 请求的 X-Requested-With 标头就足够了。那么在这种情况下是否不需要实现令牌?

如果是,在哪里定义不允许跨浏览器请求?

提前致谢。

4

1 回答 1

1

文章本身说这种方法是不够的:

警告

这篇文章中描述的防止 CSRF 攻击的方法现在被认为是不够的。对此帖子的评论链接到有关绕过它的攻击的更多详细信息。

于 2013-02-07T17:46:24.573 回答