(3)在 HTTP 头中自定义属性并验证
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里 。通过 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中 。这样解决了上种方法在请求中加入 token 的不便,同时,通过 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去 。
然而这种方法的局限性非常大 。请求通常用于 Ajax 方法中对于页面局部的异步刷新,并非所有的请求都适合用这个类来发起,而且通过该类请求得到的页面不能被浏览器所记录下,从而进行前进,后退,刷新,收藏等操作,给用户带来不便 。另外,对于没有进行 CSRF 防护的遗留系统来说,要采用这种方法来进行防护,要把所有请求都改为 请求,这样几乎是要重写整个网站,这代价无疑是不能接受的 。
推荐阅读
- 茉莉凤眼属于什么茶,调味茶是什么
- 孕妇是否可以喝菊花茶,喝菊花茶的好处
- 苦荞茶选择什么牌子的纯正,四大步骤教你如何简易而快速的冲泡百合花茶
- 不建议空腹喝玫瑰花茶,喝玫瑰花茶有什么好处
- 什么花茶对眼睛好,花茶的讲究
- 智能手环有什么作用
- 怎样查看美团交易记录
- IPSec VPN基本原理详解
- 炭疽是什么
- HTTP慢速攻击是什么