X-Requested-By 以外的自定义 header 的 CSRF 保护
CSRF Protection with Custom header other than X-Requested-By
有关
因此,如果我们决定使用自定义 Header 验证作为 CSRF 保护的一个选项,并且如果我们需要使用 "X-Requested-By" 以外的其他自定义 header 那么什么是最好的方法
从CsrfProtectionFilter的源代码来看,要验证的header定义为私有静态变量。因此无法将 header 更改为验证。
private static final String HEADER_NAME = "X-Requested-By";
坚持标准用好X-Requested-By.
但是,如果你想验证一个单独的 header,你需要编写你自己的过滤器,这很容易。只需复制 class 并更改 header(不推荐)
因此,如果我们决定使用自定义 Header 验证作为 CSRF 保护的一个选项,并且如果我们需要使用 "X-Requested-By" 以外的其他自定义 header 那么什么是最好的方法
从CsrfProtectionFilter的源代码来看,要验证的header定义为私有静态变量。因此无法将 header 更改为验证。
private static final String HEADER_NAME = "X-Requested-By";
坚持标准用好X-Requested-By.
但是,如果你想验证一个单独的 header,你需要编写你自己的过滤器,这很容易。只需复制 class 并更改 header(不推荐)