那些遇到过的问题

可以欺骗"x-requested-with"http标头?

jde*_*dee 8 security http

我的研究表明,只有Host,Referer和User-Agent头可以被欺骗.(来源)

这是一个正确的假设吗?我正在建设的网站的安全性可能要求"x-requested-with"不能伪造.这远非理想,但可能是我唯一的途径.

Gre*_*ean 17

我正在建设的网站的安全性可能要求"x-requested-with"不能伪造

几乎任何HTTP中的内容都可能被欺骗."欺骗性"的程度很难确定.使用我想要的任何标题值来制作请求是相当简单的.

如果这是你唯一的选择,那就这样吧,但我不想使用依赖它的网站来做任何重要的事情.

  • 总结一下,我显然无法继续解决我面临的问题,但是经过今天的一些重大(重大!)重构,我设法实现了一个更加安全的系统。感谢大家。 (2认同)

som*_*ome 10

每个标题都可以被欺骗.任何以x-开头的标头都是非标准的.

归档时间:

查看次数:

4154 次

最近记录:

9 年,2 月 前
X-Requested-With标头有什么意义? 197
更多相关链接
相关归档
使用C中的libcurl保存文件 5
tomcat的字符编码问题 5
IE接受标题更改,为什么? 4
如何阻止用户共享同一个帐户?(ASP.NET MVC) 3
Django在远程运行时内置测试服务器有多危险? 3
前端的 PCI 合规性 (PCI DSS) 3
Nginx 返回 200 而不提供文件 3
将zip文件下载到本地驱动器,并使用python 2.5将所有文件解压缩到目标文件夹 2
如何使软件安全? 2
angularjs无法使用POST与php通信 1
难疑归档
如何撤消Git中最近的提交? 20327
如何通过引用传递变量? 2480
正确使用IDisposable接口 1586
用PHP将HTML + CSS转换为PDF? 1585
在上传图像之前预览图像 1476
没有指定分支的"git push"的默认行为 1339
在Python中反转一个字符串 1288
在Python中创建一个包含列表推导的字典 1216
为PHP密码保护哈希和盐 1142
按属性排序自定义对象的ArrayList 1093