AFAIK 提交表单时无法设置标题字段,只能在 ajax 请求中完成
这个问题还指出这是不可能的:
但是阅读跨站点请求伪造(CSRF)预防备忘单它提到:
加密令牌模式
概述
加密令牌模式利用加密而非比较令牌验证方法。成功认证后,服务器使用仅在服务器上可用的唯一密钥生成由用户 ID、时间戳值和随机数组成的唯一 Token。此 Token 返回给客户端并嵌入到隐藏字段中。随后的 AJAX 请求在请求标头中包含此 Token,其方式与 Double-Submit 模式类似。 非 AJAX 基于表单的请求会在其隐藏字段中隐式保存 Token,尽管在这种情况下我建议将此数据保存在自定义 HTTP 标头中。收到此请求后,服务器使用用于创建 Token 的相同密钥读取和解密 Token 值。
这句话让我很困惑:
在这种情况下,我建议将此数据保存在自定义 HTTP 标头中
任何人都可以对此有所了解吗?