【发布时间】:2016-01-04 13:55:37
【问题描述】:
因此,如果我们决定使用自定义标头验证作为 CSRF 保护的选项,并且如果我们需要使用“X-Requested-By”以外的其他自定义标头,那么最好的方法是什么
【问题讨论】:
-
您能描述一下您要解决的实际问题吗?你为什么不使用令牌?为什么需要使用其他一些自定义标头?为什么您不能使用您选择的任何随机标题?
-
实际上我想保护我的 REST api 免受 CSRF 攻击,因此根据问题中提到的帖子,我们可以通过两种方式做到这一点,一种是通过自定义标头验证,另一种是每个请求一个令牌。我选择使用自定义标头验证,但我想使用我的应用程序使用的其他一些自定义标头,而不是 X-Requested-By。我正在使用 Sun Jersey Rest 库。
-
啊,好的,这样就搞定了。那么这不是一个安全问题,而是一个编程问题。然后我会将其标记为移至 StackOverflow。
-
那么,你有什么理由不使用那个标题吗?您在实施时有什么具体问题吗?
-
我在使用该标头时没有任何问题,但是我们的应用程序请求中已经有很多自定义标头,所以我想介绍另一个。取而代之的是,我可以验证我现有的标题是否正确。
标签: csrf jersey-1.0