我会说就足够了。如果允许跨域请求,那么您将注定要失败,因为攻击者可能会使用Javascript来获取CSRF令牌并将其用于伪造的请求中。
静态令牌不是一个好主意。每个会话至少应生成一次令牌。
EDIT2 Mike毕竟不对,抱歉。我没有正确阅读链接到的页面。它说:
一个简单的跨站点请求是这样的:[…]不使用HTTP请求设置自定义标头(例如X-Modified等)。
因此,如果您设置了
X-Requested-With,则该请求必须是预先执行的,除非您响应
OPTIONS授权跨站点请求的飞行前请求,否则该请求将无法通过。
编辑 Mike是正确的,从Firefox
3.5开始,允许跨站点XMLHttpRequests
。因此,您还必须检查
Origin标题(如果存在)是否与您的站点匹配。
if (array_key_exists('HTTP_ORIGIN', $_SERVER)) { if (preg_match('#^https?://myserver.com$#', $_SERVER['HTTP_ORIGIN']) doStuff();}elseif (array_key_exists('HTTP_X_REQUESTED_WITH', $_SERVER) && (strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest')) doStuff();
