Si mes requêtes Ajax définissent un en-tête X-Requested-With, puis-je simplement ignorer la vérification CSRF si cet en-tête est présent? Puis-je être sûr qu'il ne peut pas être falsifié (avec la session de l'utilisateur)?Ajax demande-t-il un CSRF sûr?
Tant que vous n'avez pas un fichier crossdomain.xml grand ouvert (vous pourriez avoir cette b/c vous hébergez du contenu flash sur votre site?) Ou vos visiteurs ont d'anciens navigateurs; tu devrais être plutôt en sécurité. Bien que je recommanderais l'utilisation d'un "crumb" -token (valeur aléatoire dans cookie et la même valeur dans les demandes). Ce flash b/c peut définir le X-Requested-With et je pense que les vieilles versions IE vous permettent de le faire aussi (pas sûr sur celui-ci cependant). Avec "Puis-je sauter la vérification CSRF" Je suppose que vous faites référence à cette miette/jeton? La vérification B/c X-Requested-With est un moyen de vérification contre CSRF.
Étant donné que cet en-tête est facultatif, les navigateurs ne l'envoient pas toujours, et selon this page ils ne semblent pas le faire via SSL.
Voici comment nous avons résolu le problème avec JQuery http://mylifewithjava.blogspot.com/2010/11/implicit-csrf-protection-of-ajax_22.html