我最近遭受了一次简单的 CSRF 攻击,并意识到我的很多 ajax 脚本都是打开的。这些可以在我的网站上通过 $.post() 访问。
有没有办法自动将 PHP token 添加到所有这些内容中,还是我需要逐一完成所有操作?
最佳答案
使用 bwoebi 的答案,我找到了一个稍微好一点的解决方案。 jQuery 有一个内置的 ajax 设置函数。
<script>var token ="<?= $_SESSION['token'] ?>";</script>
<script>
jQuery.ajaxSetup({
data: {
token: token
}
});
</script>
这会将您的 token 添加到每个 jQuery 请求中!
关于php - 防止 jQuery $.post 的 CSRF 和 XSRF 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16378600/