Backbone.js处理将数据发布到服务器的引擎盖下,所以没有简单的方法在有效载荷中插入一个CSRF令牌.在这种情况下,如何保护我的网站免于CSRF?
在这个SO答案中:https://stackoverflow.com/a/10386412/954376,建议是将x-Requested-By标头验证为XMLHTTPRequest.这是否足以阻止所有CSRF尝试?
在Django文档中,建议是在每个AJAX请求的另一个自定义头文件中添加CSRF令牌:https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.这是必要的吗?
我明白攻击是否使用隐藏的形式,只要保证来自XMLHTTPRequest的请求,我就是安全的.但是有没有任何可以伪造标题的CSRF攻击技巧?
