出于安全性的考虑,一个很好的理由-这可以防止CSRF攻击,因为未经服务器通过CORS的同意,无法将此标头添加到AJAX请求跨域中。
跨域仅允许以下标头:
任何其他原因都会导致在CORS支持的浏览器中发出“飞行前”请求。
没有CORS,就不可能添加X-Requested-With
到跨域XHR请求。
如果服务器正在检查是否存在此标头,则它知道该请求不是来自尝试使用JavaScript代表用户提出请求的攻击者的域。这还会检查请求是否不是从常规HTML表单中发布的,如果不使用令牌,则很难确定该请求不是跨域的。(但是,尽管您将使旧的浏览器容易受到攻击,但是在支持的浏览器中可以选择检查Origin
标头)。
您可能希望将其与令牌结合使用,因为如果有重定向步骤,则 OSX上Safari上运行的Flash可以设置此标头。看来它也可以在Chrome上使用,但现在已得到修复。这里有更多详细信息,包括受影响的不同版本。
此防御技术在“跨站点请求伪造的稳健防御”的第4.3节中专门讨论。但是,Mathias Karlsson早在2008年和2015年就记录了使用Flash绕过这种防御的漏洞,以利用Vimeo中的CSRF漏洞。但是,我们认为Flash攻击无法欺骗Origin或Referer标头,因此通过同时检查这两个标头,我们认为这种检查组合应可防止Flash绕过CSRF攻击。(注意:如果有人可以确认或反驳这种信念,请告诉我们,以便我们更新本文)
但是,由于已经讨论的原因,检查Origin可能很棘手。
在此处撰写有关CORS,CSRF和X-Requested- With的更深入的博客文章。