Backbone.js处理将数据发布到服务器的引擎盖下,所以没有简单的方法在有效载荷中插入一个CSRF令牌.在这种情况下,如何保护我的网站免于CSRF？

在这个SO答案中：https://stackoverflow.com/a/10386412/954376,建议是将x-Requested-By标头验证为XMLHTTPRequest.这是否足以阻止所有CSRF尝试？

在Django文档中,建议是在每个AJAX请求的另一个自定义头文件中添加CSRF令牌：https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.这是必要的吗？

我明白攻击是否使用隐藏的形式,只要保证来自XMLHTTPRequest的请求,我就是安全的.但是有没有任何可以伪造标题的CSRF攻击技巧？

$.ajaxPrefilter(function(opts) {
    if (opts.data) {
        opts.data += "&";
    }
    opts.data += "csrftoken=" + token;
});