假设在页面的<meta />元素上渲染了一个csrf_token,
然后进行一次ajax的post请求,这时csrf_token不变,是不是要在ajax请求返回的时候把返回一个新的csrf_token,然后用js再把<meta />元素上的csrf_token换成新的。
这样做是不是有必要?
我用spring security框架来防御csrf攻击,但是ajax不会返回新的csrf_token。
然后进行一次ajax的post请求,这时csrf_token不变,是不是要在ajax请求返回的时候把返回一个新的csrf_token,然后用js再把<meta />元素上的csrf_token换成新的。
这样做是不是有必要?
我用spring security框架来防御csrf攻击,但是ajax不会返回新的csrf_token。