用ajax保护表单提交:有或没有csrf令牌

Question

我有一个用CSRF令牌保护的表单。我不知道CSRF令牌的所有细节，但我听说它们对于表单安全性来说是很好的。当表单提交得太晚时，表单会给出一个错误，因此CSRF令牌似乎正在按预期工作。

另一方面，当我使用ajax提交表单时，如何以验证普通表单的方式验证表单？我不认为我将有一个表单对象来验证。

• 在接受ajax调用时是否存在使用ajax？
• 的风险，如何像验证普通表单那样验证它？
• ，我想通过请求传递一个密钥(就像API键)，以证明调用是从我的应用程序中发出的，但我如何使这个密钥不被肉眼看到？

。

Answer 1

使用ajax是否有风险？

对服务器的任何其他请求都不会带来更大的风险。

当我接受ajax调用时，如何像验证普通表单一样验证它？

我不知道，您现在如何验证表单？:)

您可能希望在服务器端共享此代码。创建一个通用的方法/函数/任何处理表单的方法/函数，给定键/值对。AJAX唯一不同的地方是如何将键/值对发送到服务器，以及格式化的响应是什么。将验证代码与这些详细信息隔离开来，您可以从两个地方调用它。

显然，AJAX代码也应该发送CSRF令牌。

我想用请求(就像API密钥)传递一个密钥，以证明调用是从我的应用程序中发出的，但是我怎样才能让这个密钥不被肉眼看到呢？

这是毫无意义的。JavaScript是以纯文本的形式发送的，所以任何了解JavaScript的人都可以提取密钥。