我有一個表單,它在提交時檢查CSRF令牌並驗證它。當我用ajax提交表單時,我試圖獲得相同的安全性。但是,ajax請求不會提交表單本身,它只是通過發送請求將數據發送到url。如果ajax請求提交了此CSRF令牌和請求,會發生什麼情況。在服務器上,我將檢查CSRF令牌。這是否會以任何方式危害我的表單安全?這是否會導致ajax提交方式被其他人以某種方式利用?發送ajax請求的CRSF令牌是否削弱了它的CRSF保護
1
A
回答
0
發佈到服務器幷包含令牌應該與通過表單一樣安全;這是做同樣事情的另一種方式。以下是我正在處理的應用程序的一個示例:
var getCookie = function(name) {
var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
return r ? r[1] : undefined;
};
var args = {
_xsrf : getCookie("_xsrf"),
// other args added
};
$.ajax({
url : "/ajaxhandler",
data : args,
type : "post",
dataType : "json",
// .. the rest as usual
});
0
是的,應該是安全的。只要運行在另一個域上的JavaScript無法讀取令牌。這可能發生,例如這個JSON abuse used against gmail。
相關問題
- 1. 登錄與CRSF保護
- 2. 如何結合令牌認證和CRSF?
- 3. Symfony2 CRSF保護如何工作?
- 4. 在提交Ajax時重新生成CRSF令牌codeigniter
- 5. 無法在angularjs中創建包含crsf的發佈請求
- 6. 另一個CRSF令牌錯誤,而在django文件uploding
- 7. 保護AJAX請求
- 8. 保護ajax請求
- 9. 通過AJAX在CakePHP的3.4發送形式CRSF和安全組件啓用
- 10. Laravel x-editable CRSF問題
- 11. Github上基本OAuth令牌不被使用Ajax請求發送
- 12. 如何通過ajax請求發送Twitter OAuth訪問令牌?
- 13. 如何使用axios發送ajax請求時添加令牌?
- 14. 發送ajax請求
- 15. ajax請求上的CSRF令牌
- 16. Laravel護照:發送令牌請求時的其他模型條件
- 17. SSL是否保護通過它發送的文檔?
- 18. CRSF標記缺失或不正確
- 19. 是否AJAX 2.0 +仍然發送完整的回覆請求
- 20. Laravel-令牌missmatch例外AJAX請求
- 21. 未發送jQuery AJAX請求
- 22. Ajax請求不被髮送
- 23. Typehead.js不發送ajax請求
- 24. AJAX發送請求兩次
- 25. JQuery .ajax不發送請求
- 26. 獲取上發送的令牌,並請求SAS URI
- 27. Stripe Payment API一次又一次地發送令牌的請求
- 28. 使用用戶令牌向Rails中的Twitter API發送請求
- 29. 使用Java發送帶有令牌的GET請求HttpUrlConnection
- 30. 發送HTTP POST請求,用指定的CSRF令牌