对付 crsf 的关键在于让恶意网站无法伪造信息,那么为什么要那么复杂?

后端直接发啊，哪有 cors 限制。。

最简单对付 crsf 不就一个 token 的事么 有那么复杂么 何况防重复提交的表单不考虑 crsf 也都加了 token 吧

cors 是浏览器的功能
谁知道万一浏览器厂商出个 bug 可以绕过呢
还是 flash 可没限制自定义 header

用户输入是不可信的。—— 佚名（到底谁说的

@mdzz 佚名 ==> 沃 兹基硕德

@murmur token 是要生成的,我的问题是我们不需要生成,直接跟前端定义好一个就行.一直用一个就好.

@airyland 有后端无视你任何防御手段.

@petelin WTF ，那叫什么 token ？
人家抓一下你源代码全都出来了

@petelin 就算直接发请求也绕不过一次性 token 啊，用过就失效了，因为是在服务器上限制的
而 cors 用 curl 就能跳过

@jugelizi 这个解释比较合理...那要这么说的话,我们把 token 放在 cookie 里也不保险,万一浏览器有问题,恶意网站能拿到 cookie 里的值然后放在 post 中呢 /

难道不是 CSRF 么？楼主把二楼都给带顺拐了。

@petelin 所以 cookie 放在前台页面生成好不跟 cookie 啊

crsf 主要防的的劫持 form 提交(xss), 而 表单提交是 无法设置 http header 的。

cors 和 csrf 有毛线关系

csrf 处理 ajax 请求一般就是在 head 附一个特殊字段

CRSF 全称 Cross Site Request Forgery ，跨站请求伪造。用我话说恶意网站 B 站在用户不知情的情况下操作了 A 站的用户资源状态。 —— 沃·兹基硕德

（该去看眼科了

@falcon05 但 header 的这个字段是动态的，或者说有过期时间

@glasslion +1
需要考虑哪个方案简单，哪个方案兼容性高。
在表单加一个隐藏字段轻松解决,为什么要自己构建 post 请求并添加 header ？
而且 header 兼容性并不好：
https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest/setRequestHeader

@falcon05 所以我的问题是他是静态的也可啊,非要费劲生成一个动态干嘛?

@gamexg 有道理,直接添加静态变化字段是很好的解决方案.
但是如果我提供的全是 api 呢,django 给出的方案是 cookie+post+token, 而我觉得直接在 ajax 提交的时候设置特殊 *静态 * HEAD, 服务器校验就好,即解决了问题,又不复杂.

“恶意网站 B ” 这个定义就很宽泛的，可以是一个你常去的公共论坛，你根本不会注意，然后某个帖子别人插入了一个 img （大部分论坛都允许的）。但是这个 img 的 url 是目标网站 A 的一个 GET 请求地址。一般人访问这个帖子什么也不会发生，但是如果是目标网站的管理员，并且是登陆状态。那么这个 GET 请求就可能触发相应的功能，达成 CRSF 。这个过程黑客只需要构造一个有效的 GET 请求，其它都不需要做，甚至不需要弄到 cookie 。

防 CRSF 的过程就是让黑客无法构造有效的 GET 请求，例子让 get 请求带上 token ，该 token 由服务端生成，并设置有效期。