前后端分离的应用，中间件检查 header 里的 Client 字段就能防止跨站攻击了吗？

理论上是的。

API cookie.set csrf-token -> fetch headers.X-CSRFToken = cookie.read csrt-token -> middleware if method!=GET
then compare(headers.X-CSRFToken, current_user.csrf-token)

你想的那套方案其实一般就是 SPA 里 csrf 的使用方式......

@westoy #2 请问为什么需要通过 API 请求一个 csrf-token 呢？如果放置在 API 请求头的 csrf-token 不通过 API 请求而是使用 hard-code 的静态固定值，校验的时候只检测请求头是否存在 X-CSRFToken 有哪些风险？

@theklf4

api 不是特定请求， 而是在加载动态内容的时候顺便 set 一下, 固定 API fresh token 的那是 jwt 、oauth 那套

写死的话， 如果每个人都一样， 那有人要专门搞你的话那等于没有， 每个人不一样的话， 那就是 csrf token 啊

@westoy #4 如果每个人都一样，有人想攻击的话怎么把一样的 csrf-token 给塞进请求头呢？

CSRF 攻击请求是浏览器自动发出的，攻击者无法添加自定义请求头，所以目前来说加一个固定的自定义头是可以防止 CSRF 攻击的
但是如果你的应用安全性要求很高，就不建议用固定的请求头，因为浏览器标准和环境也是会变化的，不能保证未来也是安全的
其实前后端分离模式下，后端接口应该统一通过请求头鉴权，不使用 cookie ，从根本上避免 CSRF 出现