全局添加X-CSRF-Token标头到XMLHttpRequest()的所有实例;

 手机用户2602881053 发布于 2023-01-09 14:35
  • xml
  • http
  • request
  • csrf
  • 服务器
  • token

    • 我正在使用第三方库生成一个原始XMLHttpRequestnew XMLHttpRequest.

    这绕过了我的CSRF保护并被我的rails服务器击落.

    有没有办法在实例化时将全局添加预定义的CSRF令牌($('meta[name=csrf-token]').attr('content'))添加到所有实例XMLHttpRequest

    2 个回答

    • 我建议拦截对send方法的调用:

      (function() {
    var send = XMLHttpRequest.prototype.send,
        token = $('meta[name=csrf-token]').attr('content');
    XMLHttpRequest.prototype.send = function(data) {
        this.setRequestHeader('X-CSRF-Token', token);
        return send.apply(this, arguments);
    };
}());

      这不会在实例化时添加标头,而是在发送请求之前添加标头.您也可以拦截调用new XMLHttpRequest(),但这不会有用,因为您需要等待添加标头直到open被调用.

      您可能还希望包含对请求的目标URL的测试,以便您只在调用自己的api时添加标头.不这样做可能会将令牌泄漏到其他地方,甚至可能会破坏不允许此标头的跨域CORS调用.

      2023-01-09 14:36 回答

    • 你可以打开ajax open()方法打开然后立即设置标题:

      (function() {
    var op = XMLHttpRequest.prototype.open;
    XMLHttpRequest.prototype.open = function() {
        var resp = op.apply(this, arguments);
        this.setRequestHeader('X-CSRF-Token', $('meta[name=csrf-token]').attr('content'));
        return resp;
    };
}());

      2023-01-09 14:37 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有