释放双眼,带上耳机,听听看~!
“为什么不用标准方法来判断xhr”,并随手抛了一个包过来:is-xhr,打开一看这个包的代码只有一行:
module.exports = function (req) {
return (req.headers["x-requested-with"] === 'XMLHttpRequest');
};
以前没关注过x-requested-with这个头,查了下资料可以防止CSRF攻击,还是挺有用的。以后把所有xhr都加这个头,并在服务端进行校验。
转自吕大豹