x-requested-with标题让我很困惑。我知道它可以用来抵御CSRF攻击,它用于识别Ajax调用......但它到底是什么?
它只是告诉你请求是什么......请求?
是否存在合理的情况,其中标题存在但设置为“XMLHttpRequest”以外的某个值?我想是这样,但我从来没有看到它与其他任何东西相提并论。
就像User-Agent标题一样,它由客户提供,可以包含任何字面意思。
User-Agent
对于任何服务器端安全检查,它都不可靠。