Quando un sito web utilizza l'intestazione X-Requested-With
nella richiesta, perché impedisce CSRF?
Possiamo sfruttarlo, ma solo con csrf con file flash e un reindirizzamento? Perché? C'è un modo per sfruttarlo? Ti piace CSRF con XHR semplice? Qualcosa di simile ...
req2 = new xmlHttpRequest();
req2.open ("POST", "https://xxx.com/_/api/1.0/account/subscribe.json" false);
req2.setRequestHeader("content-type", "application/x-www-form-urlencoded; "charset=UTF-8");
req2.setRequestHeader("X-Requested-with", "XmlHttpRequest");
req2.send