raf*_*b21 4 javascript csrf angular
我提出这个问题,是因为在客户端服务器应用程序中,服务器会为每个请求发送带有隐藏在表单中的不同令牌的html。该令牌通过密钥在服务器上构建。
但是Angular 2的所有形式都已经在客户端上了。对于包含令牌的表单,他需要在客户端中存在一个秘密密钥,对我而言,这已经是一个安全漏洞。
所以我问一个问题,在Angular 2中使用csrf令牌是否有意义?如果答案是肯定的,那怎么办?
Angular 2包含一种CSRF / XSRF缓解策略,称为双提交cookie模式。从Angular文档中,
Angular http客户端对此技术具有内置支持。默认值
CookieXSRFStrategy查找名为XSRF-TOKEN的X-XSRF-TOKENcookie,并在每个请求上设置一个以该cookie的值命名的HTTP请求标头。服务器必须设置XSRF-TOKENcookie,并为每个状态修改请求验证响应头。
因此,如果您正在使用该http服务,则无需在Angular方面做任何额外的操作即可获得CSRF保护。服务器需要检查标题和cookie值是否相同。
| 归档时间: |
|
| 查看次数: |
3114 次 |
| 最近记录: |