根据本文,验证jQuery发送的AJAX请求的X-Request-With标头就足够了。所以在这种情况下,没有必要实现代币吗?
如果是,在哪里定义了不允许跨浏览器请求?
提前谢谢。
文章本身说这种方法是不够的:
警告
本文中描述的防止CSRF攻击的方法现在被认为是不够的。对这篇文章的评论链接到有关规避攻击的更多详细信息。