javascript – 使用Backbone.js发布数据时如何防范CSRF?

前端之家收集整理的这篇文章主要介绍了javascript – 使用Backbone.js发布数据时如何防范CSRF?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Backbone.js处理将数据发布到服务器的引擎盖下,所以没有简单的方法在有效载荷中插入一个CSRF令牌.在这种情况下,如何保护我的网站免于CSRF?

在这个SO答案中:https://stackoverflow.com/a/10386412/954376,建议是将x-Requested-By标头验证为XMLHTTPRequest.这是否足以阻止所有CSRF尝试?

在Django文档中,建议是在每个AJAX请求的另一个自定义文件添加CSRF令牌:https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.这是必要的吗?

我明白攻击是否使用隐藏的形式,只要保证来自XMLHTTPRequest的请求,我就是安全的.但是有没有任何可以伪造标题的CSRF攻击技巧?

解决方法

您可以使用 prefilter将令牌添加到所有请求中:
$.ajaxPrefilter(function(opts) {
    if (opts.data) {
        opts.data += "&";
    }
    opts.data += "csrfToken=" + token;
});

如果不总是发送令牌,则可能需要添加其他逻辑.

原文链接:https://www.f2er.com/js/153272.html

猜你在找的JavaScript相关文章