大佬教程收集整理的这篇文章主要介绍了这是防止跨站点请求伪造(CSRF)攻击的安全方法吗?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
是的,添加攻击者无法从有效用户的会话中复制的标头是执行此操作的一种方法。
例如X-requested-With
可以将其添加到每个AJAX请求中(默认情况下,Jquery会执行此操作),并且在服务器端收到请求时,您只需检查此标头是否存在。如果没有服务器通过CORS选择加入,则无法跨域发送此标头。
例如
X-requested-With: XMLhttprequest;0123456789ABCDEF
因此,@R_894_9616@程序是:
通常我们会发送一个sessionid
cookie和一个csrftoken
cookie。令牌cookie值将作为x-
header包含在任何AJAX帖子中,并且每次请求都将在服务器上验证所有内容。
由于SPA页面是在返回浏览器之前构建的,因此我们可以在其中嵌入我们想要的任何内容。我们希望最终用户能够登录多个选项卡,而一个选项卡不影响其他选项卡。
我们宁愿做的是:
这使我们有机会允许多次登录,每次登录都有唯一的sessionid
cookie名称,但每个发布请求都具有标准化的x-header名称。
这和sessionid cookie,csrftoken cookie / x-header方法一样安全吗?
以上是大佬教程为你收集整理的这是防止跨站点请求伪造(CSRF)攻击的安全方法吗?全部内容,希望文章能够帮你解决这是防止跨站点请求伪造(CSRF)攻击的安全方法吗?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。