在 meta 标签中存储 CSRF 令牌是一种好的实践吗？

Question

9

如果我不使用表单进行POST请求，想要防止CSRF攻击，可以在meta标签中设置csrf-token，并在触发请求时将其放回到头部。这是一个好的做法吗？

<meta name="csrf-token" content="xxx">

请通过头部将令牌放回，例如使用JQuery：

$.ajaxSetup({
   headers: {
      'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
   }
});

- tony.0919

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- ajon · Accepted Answer

如果您正在使用AJAX，这是一个很好的做法。您也可以将令牌放在表单中（如果提交整个表单更方便），但是如果您正在使用AJAX，则只需要在某个地方获取它。

隐藏字段或元标记都是非常好的选择。