对付 crsf 的关键在于让恶意网站无法伪造信息,那么为什么要那么复杂?

@falcon05 一针见血， GET 请求也是 Request Header 的一部分。

@petelin jquery 有这个方案：
http://stackoverflow.com/questions/22063612/adding-csrftoken-to-ajax-request

@Mutoo 如果按规范的话， GET 请求不会改变服务器状态，所以 csrf 并不需要对 get 请求处理。但是很多网站并没有按套路出牌……

@petelin 习惯吧，因为觉得 token 跟 cookie 有关系，而 cookie 是有过期时间的，所以习惯性地也把 header 的 token 搞一个过期时间，我记得 CI 框架就是有这个配置，其实我觉得静态 header 的 token 也未尝不可

@falcon05 确实，把 token 放在 X-CSRF-TOKEN 里更合理些。

静态的 header 并不安全。如果黑客对恶意网站有完整的控制权，可以直接伪造完整的 request 。一样可以 CSRF

自定义 header 肯定能防 csrf, 但是，但那毕竟要用 ajax 才能实现，如果不用 javascript, 就只能用 csrf token 了。

@Mutoo GET 是没有 X_REQUESTED_WITH 的,所以你说的 img 没法实现

@Mutoo 另外如果你对恶意网站完整控制权,你发的 request 只是你网站发的,这又怎么样?没看懂

🌚仅对 10 楼：如果恶意网站能拿到你的 cookie ，那它也用不着去 csrf 你了。

楼主的想法确实没错。
另外 CORS 在发添加自定义 header 的请求前会发送预检请求（ options ），如果服务端不对预检请求做正确响应，那么 CORS 的自定义 header 是无法发出的。
flash 的跨域，如果我没有记错的话， 1.域名下的 crossdomain.xml 中别随便授权域
2.本域和 crossdomain.xml 中授权的域下别随便放网上找到 swf 文件
3.本域和 crossdomain.xml 中授权的域下别随便允许上传文件(非 swf 的也不能允许，如果因业务必须允许，那需要做一些其他的操作，就不详述了)
做好以上 3 点，应该就 ok 了
ps ：从回帖看 v2 上好多人都没完全理解 csrf

@cmxz 大神总是出来的晚，学习

没记错的话 CSRF 是早于 CORS 出现的。