本文共 334 字,大约阅读时间需要 1 分钟。
大部分js框架(jquery,exit,yui)会在aajax的请求里加上一个名称为“X-Requested-With”的header,可以在服务器端通过这个header来判断,但是似乎不是一个成文的标准,php的判断源码如下(摘自Yii):
public function getIsAjaxRequest() { return isset($_SERVER['HTTP_X_REQUESTED_WITH'])?$_SERVER['HTTP_X_REQUESTED_WITH']==='XMLHttpRequest' : false; }
因为一般的跨站攻击都是借用用户的浏览器发送ajax请求,一个请求是否是ajax在CSRF中比较有用。
转载地址:http://uxsni.baihongyu.com/