ajax - Ajax リクエストの CSRF は安全ですか?

Question

私の Ajax リクエストが X-Requested-With ヘッダーを設定する場合、このヘッダーが存在するかどうかの CSRF チェックをスキップできますか? （ユーザーセッションで）偽造できないと確信できますか？

Answer 1

広く開いているcrossdomain.xmlがない限り（このb / cをサイトでホストしている可能性がありますか？）、または訪問者が古いブラウザを使用している場合。あなたはかなり安全でなければなりません。「クラム」トークン（Cookieのランダムな値とリクエストの同じ値）の使用をお勧めしますが。このb/cフラッシュはX-Requested-Withを設定する可能性があり、古いIEバージョンでも可能だと思います（これについてはわかりませんが）。

「CSRFチェックをスキップできますか？」では、このクラム/トークンを参照していると思いますか？B / cチェックX-Requested-Withは、CSRFをチェックする方法です。

このヘッダーはオプションであるため、ブラウザが常に送信するとは限りません。このページによると、SSL経由では送信されないようです。

Answer 2

これは、JQuery http://mylifewithjava.blogspot.com/2010/11/implicit-csrf-protection-of-ajax_22.htmlで問題を解決した方法です 。