Защита CSRF с пользовательским заголовком, отличным от X-Requested-By

Можете ли вы описать реальную проблему, которую вы пытаетесь решить? Почему вы не используете токен? Почему вам нужно использовать какой-то другой пользовательский заголовок? Почему вы не можете использовать любой случайный заголовок по вашему выбору?   -  person Xander    schedule 30.12.2015

На самом деле я хочу защитить свой REST API от CSRF-атаки, поэтому, согласно сообщению, упомянутому в вопросе, мы можем сделать это двумя способами: один - через пользовательскую проверку заголовка, а другой - один токен на запрос. Я решил использовать проверку пользовательского заголовка, но вместо X-Requested-By я хочу использовать другой пользовательский заголовок, используемый моим приложением. Я использую библиотеку Sun Jersey Rest.   -  person victor    schedule 30.12.2015

А, хорошо, это проясняет. Тогда это не вопрос безопасности, а вопрос программирования. Тогда я отмечу, что он будет перемещен в StackOverflow.   -  person Xander    schedule 30.12.2015

Итак, у вас есть какая-то причина не использовать этот заголовок? Есть ли у вас какие-либо конкретные проблемы в реализации этого?   -  person eis    schedule 30.12.2015

У меня нет проблем с использованием этого заголовка, но у нас уже есть много пользовательских заголовков в нашем запросе приложения, поэтому я хочу ввести еще один. Вместо этого я могу проверить правильность существующего заголовка.   -  person victor    schedule 30.12.2015

что именно я имею в виду, так это то, почему они ограничивают нас в использовании только X-Requested-By в этом API - jersey.java.net/apidocs/1.17/jersey/com/sun/jersey/api/   -  person victor    schedule 30.12.2015