Backbone.js हुड के नीचे सर्वर पर डेटा पोस्ट करने को संभालता है, इसलिए पेलोड में सीएसआरएफ टोकन डालने का कोई आसान तरीका नहीं है। मैं इस स्थिति में सीएसआरएफ के खिलाफ अपनी साइट की रक्षा कैसे कर सकता हूं?डेटा पोस्ट करने के लिए Backbone.js का उपयोग करते समय सीएसआरएफ के खिलाफ कैसे सुरक्षा करें?
इस SO उत्तर में: https://stackoverflow.com/a/10386412/954376, सुझाव x-Requested-by header को XMLHTTPRequest होने के लिए सत्यापित करना है। क्या यह सभी सीएसआरएफ प्रयासों को अवरुद्ध करने के लिए पर्याप्त है?
Django दस्तावेज़ों में, सुझाव है कि प्रत्येक AJAX अनुरोध में किसी अन्य कस्टम शीर्षलेख में सीएसआरएफ टोकन जोड़ना है: https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax। क्या यह आवश्यक है?
मैं समझता हूं कि हमले छिपे हुए फॉर्म का उपयोग करता है, मैं केवल यह सुनिश्चित करके सुरक्षित हूं कि अनुरोध XMLHTTPRequest से है। लेकिन क्या कोई सीएसआरएफ हमला चाल है जो हेडर को फोर्ज कर सकती है?
(jQuery कुकी प्लगइन का उपयोग) है "मैं सुरक्षित बस आश्वस्त द्वारा हूँ अनुरोध XMLHTTPRequest से है "- आप यह सुनिश्चित नहीं कर सकते हैं। – Quentin