Meine Untersuchung zeigt, dass nur die Header Host, Referer und User-Agent gefälscht werden können. ( Quelle )
Ist das eine korrekte Annahme zu machen? Die Sicherheit einer Website, die ich erstelle, kann erfordern, dass "x-requests-with" nicht gefälscht werden kann. Dies ist alles andere als ideal, aber möglicherweise die einzige Möglichkeit, die ich habe.
Die Sicherheit einer Website, die ich erstelle kann erfordern, dass "x-angefordert-mit" kann nicht gefälscht werden
Fast alles in HTTP kann gefälscht werden. Das Niveau der "Spoofability" ist schwer zu bestimmen. Es ist ziemlich trivial, eine Anfrage mit irgendeinem Header-Wert zu erstellen, den ich möchte.
Wenn es Ihre einzige Option ist, so sei es, aber ich würde keine Seite verwenden wollen, die sich auf etwas Wichtiges verlässt.
Ich bin gerade auf diese Frage gestoßen, auf der Suche nach etwas anderem, hier ist meine Antwort:
Ein allgemeines Sicherheitsprinzip, das zu beachten ist: Alle Daten können geändert werden.
Was nun praktisch passiert, ist folgendes: Je weiter unten Sie auf dem Stack arbeiten (Transport, Netzwerk, Link ...), desto schwieriger wird es, die Daten zu ändern, da die benötigten Tools wahrscheinlich nicht verfügbar sind zu Ihnen an erster Stelle und erfordern Systemänderungen (zB können Sie einen Linux-Kernel neu kompilieren, um mit Ethernet / IP-Stack zu versauen, wenn Sie interessiert sind).
Wenn wir von HTTP sprechen, das ist die Anwendungsschicht, und es wird kinderleicht, das zu tun, was Sie wollen. Sie werden jede Menge Tools finden, mit denen Sie benutzerdefinierte HTTP-Anfragen von sehr einfachen Netzwerkwerkzeugen (nc, telnet ...) bis zu komplexeren (cUrl, Fiddler ...) generieren können.
Also nein, die bloße Anwesenheit des Headers x-requested-with kann nicht als angemessene Sicherheit betrachtet werden.
Obwohl es für Situationen mit niedrigem Sicherheitslevel nützlich sein kann, wird es einen Angreifer definitiv nicht davon abhalten, darüber zu gehen. Erinnere dich an das erste Prinzip der Sicherheit: Kein System ist undurchdringlich, es muss nur sicher genug sein, um Bruchversuche unwürdig zu machen.
Es kann von jemandem gefälscht werden, der curl oder eine Browsererweiterung verwendet.
Wenn es jedoch als Anti-CSRF-Maßnahme verwendet wird ( siehe hier ), kann es nicht so einfach gefälscht werden Der Angreifer ist nicht derjenige mit dem Browser. Um es zu fälschen, benötigen Sie einen Flash-Exploit, wie in der Antwort erklärt, oder CORS wird mit laxen Berechtigungen auf dem Zielserver eingerichtet.