The*_*ime 22 xss csrf typescript angular
正如您可以看到上面的问题,我想知道Angular 2如何处理XSS或CSRF.它甚至可以处理这些攻击吗?如果是这样,我该怎么做才能使用这种保护?如果没有,我是否必须在我的服务器中处理所有这些攻击,或者在前端使用TypeScript以某种方式处理?
我已经读过你必须使用"withCredentials:true",但是我不太确定在哪里放这个代码,或者甚至是那个,我正在寻找什么.
在https://angular.io/网页中,我没有找到任何关于此的内容(或者我只是错过了它).
Dan*_*ann 38
Angular2提供内置,默认启用*,反XSS和CSRF/XSRF保护.
该DomSanitizationService需要,以防止去除危险位的护理XSS攻击.
该CookieXSRFStrategy类(XHRConnection类中)需要预防的护理CSRF/XSRF攻击.
*请注意,客户端默认启用CSRF/XSRF保护,但仅当后端在用户进行身份验证时设置具有随机值的名为XSRF-TOKEN的cookie时才有效.有关Cookie-to-Header令牌模式的更多信息,请阅读.
更新:官方Angular2安全文档:https://angular.io/docs/ts/latest/guide/security.html (感谢Martin Probst的编辑建议!).