ajax的CSRF令牌

sam*_*quo 8 php security ajax zend-framework csrf

使用ajax提交的表单有问题.我用Zend Framework做我的表单.有些是真实的形式,所以我添加了一个Hash元素.其他用于小型操作(如upvote和downvote),所以我用链接做.

我的问题是我需要使用ajax,尤其是小型表单(链接).我看到很多问题,但没有足够的全面解决问题.有关如何通过ajax提交表单时如何使csrf令牌顺利运行的详细说明?最好使用Zend Framework,但一般的PHP答案也会有所帮助.

Art*_*cto 7

您不需要CSRF令牌.您的情况使用该HTTP_X_REQUESTED_WITH方法(参见例如此处).

  • 顺便说一下,您可能希望查看不同于仅仅信任REQUESTED_WITH的行为:Rails和Django最近都已更新,以解决可能无法提供足够保护的情况.这里是Django关于他们更新的说明:http://is.gd/JLBrfL我不知道如何用Zend实现这一点,尽管:)我在搜索CSRF和AJAX时碰巧找到了这个. (2认同)