¿Cuál es el punto del encabezado X-Requested-With?

JQuery y otros marcos agregan el siguiente encabezado:

X-Requested-With: XMLHttpRequest

¿Por qué se necesita esto? ¿Por qué un servidor querría tratar las solicitudes AJAX de manera diferente a las solicitudes normales?

ACTUALIZACIÓN : Acabo de encontrar un ejemplo de la vida real con este encabezado: https://core.spreedly.com/manual/payment-methods/adding-with-js . Si el procesador de pagos se solicita sin AJAX, redirige de nuevo al sitio web original cuando haya terminado. Cuando se solicita con AJAX, no se realiza la redirección.

Una buena razón es la seguridad: esto puede evitar ataques CSRF porque este encabezado no se puede agregar al dominio cruzado de solicitud AJAX sin el consentimiento del servidor a través de CORS .

Solo los siguientes encabezados tienen dominio cruzado permitido:

• Aceptar
• Aceptar lenguaje
• Lenguaje de contenido
• ID del último evento
• Tipo de contenido

cualquier otra causa que se emita una solicitud "previa al vuelo" en los navegadores compatibles con CORS.

Sin CORS no es posible agregar X-Requested-Witha una solicitud XHR de dominio cruzado.

Si el servidor verifica que este encabezado esté presente, sabe que la solicitud no se inició desde el dominio de un atacante que intentaba hacer una solicitud en nombre del usuario con JavaScript. Esto también verifica que la solicitud no se haya PUBLICADO desde un formulario HTML normal, del cual es más difícil verificar que no es dominio cruzado sin el uso de tokens. (Sin embargo, verificar el Originencabezado podría ser una opción en los navegadores compatibles, aunque dejará vulnerables los navegadores antiguos ).

Nuevo bypass Flash descubierto

Es posible que desee combinar esto con un token , porque Flash que se ejecuta en Safari en OSX puede establecer este encabezado si hay un paso de redireccionamiento . Parece que también trabajó en Chrome , pero ahora se remedió. Más detalles aquí, incluidas las diferentes versiones afectadas.

OWASP recomienda combinar esto con un cheque de origen y referencia :

Esta técnica de defensa se discute específicamente en la sección 4.3 de Defensas sólidas para la falsificación de solicitudes entre sitios. Sin embargo, las omisiones de esta defensa usando Flash fueron documentadas ya en 2008 y nuevamente en 2015 por Mathias Karlsson para explotar una falla CSRF en Vimeo. Pero, creemos que el ataque Flash no puede suplantar los encabezados Origin o Referer, por lo que al verificar ambos creemos que esta combinación de comprobaciones debería evitar los ataques CSRF de bypass de Flash. (NOTA: Si alguien puede confirmar o refutar esta creencia, infórmenos para que podamos actualizar este artículo)

Sin embargo, por las razones ya discutidas, verificar Origen puede ser complicado.

Actualizar

Escribió una publicación de blog más detallada sobre CORS, CSRF y X-Requested-With aquí .

Asegúrese de leer la respuesta de SilverlightFox. Destaca una razón más importante.

La razón es principalmente que si conoce el origen de una solicitud, es posible que desee personalizarla un poco.

Por ejemplo, supongamos que tiene un sitio web que tiene muchas recetas. Y utiliza un marco jQuery personalizado para deslizar recetas en un contenedor en función de un enlace en el que hacen clic. El enlace puede serwww.example.com/recipe/apple_pie

Ahora normalmente eso devuelve una página completa, encabezado, pie de página, contenido de recetas y anuncios. Pero si alguien está navegando en su sitio web, algunas de esas partes ya están cargadas. Por lo tanto, puede usar un AJAX para obtener la receta que el usuario ha seleccionado, pero para ahorrar tiempo y ancho de banda no cargue el encabezado / pie de página / anuncios.

Ahora puede escribir un punto final secundario para los datos, www.example.com/recipe_only/apple_piepero es más difícil de mantener y compartir con otras personas.

Pero es más fácil detectar que se trata de una solicitud ajax que realiza la solicitud y luego devuelve solo una parte de los datos. De esa forma, el usuario desperdicia menos ancho de banda y el sitio parece más receptivo.

Los marcos simplemente agregan el encabezado porque a algunos les puede resultar útil realizar un seguimiento de qué solicitudes son ajax y cuáles no. Pero depende completamente del desarrollador para usar tales técnicas.

En realidad es algo similar al Accept-Languageencabezado. Un navegador puede solicitar un sitio web. Muéstrame una versión rusa de este sitio web sin tener que insertar / ru / o similar en la URL.

Algunos marcos están usando este encabezado para detectar solicitudes xhr, por ejemplo, Grails Spring Security está usando este encabezado para identificar la solicitud xhr y dar una respuesta json o una respuesta html como respuesta.

La mayoría de las bibliotecas de Ajax (Prototype, JQuery y Dojo a partir de v2.1) incluyen un encabezado X-Requested-With que indica que la solicitud fue realizada por XMLHttpRequest en lugar de activarse haciendo clic en un hipervínculo regular o un botón de envío de formulario.

Fuente: http://grails-plugins.github.io/grails-spring-security-core/guide/helperClasses.html