SORU
4 Temmuz 2013, PERŞEMBE


Ne'noktası X-İstenen-İle Başlığı s?

JQuery ve diğer:

X-İstenen-İle: XMLHttpRequest

Bu neden gerekli? Neden bir sunucu normal isteklere göre AJAX istekleri farklı davranmasını istiyor?

GÜNCELLEMEBen bu başlığı kullanarak: gerçek hayattan bir örnek buldum https://core.spreedly.com/manual/payment-methods/adding-with-js. Eğer ödeme işlemci AJAX olmadan istenirse, İşlem bitince geri orijinal web sitesine yönlendirir. AJAX ile istendiğinde, yönlendirme yapılır.

CEVAP
20 Mart 2014, PERŞEMBE


İyi bir nedeni güvenlik için bu başlık olamaz CORS) sunucu izni olmadan AJAX isteği çapraz etki alanı eklenebilir çünkü CSRF saldırıları önler.

Sadece aşağıdaki başlıklar etki çapraz izin verilir:

  • Kabul
  • Kabul Dili
  • İçerik-Dil
  • Son Olay KİMLİĞİ
  • İçerik Türü

başka neden bir "uçuş öncesi" KÖŞELERİ desteklenen tarayıcılarda verilmesi talebi.

KÖŞELERİ olmadan Olası çapraz etki alanı XHR isteği X-Requested-With eklemek gerek yoktur.

Eğer sunucu bu başlığı varsa o kontrol ediyor, istek saldırganın etki alanı JavaScript ile kullanıcı adına bir istek yapmak için çalışıyoruz başlatmak olmadığını bilir. Bu da talebi olan belirteçleri kullanmadan cross domain değildir doğrulamak için zordur normal bir HTML Formu, İlan olmadığını denetler. (Ancak, checking the Origin header desteklenen tarayıcılar, although you will leave old browsers vulnerable.) bir seçenek olabilir

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Andrew_Huang

    Andrew_Huang

    10 ŞUBAT 2006
  • GirlSanctuaryBlog

    GirlSanctuar

    28 Aralık 2011
  • krotoflik

    krotoflik

    26 ŞUBAT 2011