那些遇到过的问题

SpringBoot-Angular 5-CSRF

Gre*_*orz 6 csrf csrf-protection spring-boot angular5

Iam现在迷路了,需要一些帮助。

我有一个

  • 带有SpringSecurtiy 4.3的SpringBoot服务器。
  • Angular 5应用

并希望启用CSRF保护,因为默认情况下都应启用CSRF保护(文档说):不是!

在SpringBoot上,我需要添加以下安全配置:

http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
Run Code Online (Sandbox Code Playgroud)

在Angular上,我需要添加以下模块:

imports: [
    ...,
    HttpClientModule,
    HttpClientXsrfModule, //(!)
...
Run Code Online (Sandbox Code Playgroud)

服务器的底线是在每个响应中发送XRSF-TOKEN。

-但每个人都有不同。那是对的吗?我希望在客户端会话中也一样。

-这里的主要问题是Angular5仍未在其帖子调用中使用XRSF-TOKEN(例如)。它没有在请求中设置X-XSRF-TOKEN。

我在做什么错还是想念?

H.a*_*idi 1

我也遇到了同样的问题,我认为这是由于 Angular 版本 5 造成的回归。

在此问题解决之前,您可以像我一样添加自己的“X-XSRF-TOKEN”标头。

 constructor(private http: HttpClient, private tokenExtractor: HttpXsrfTokenExtractor) {
    }
Run Code Online (Sandbox Code Playgroud)

然后手动提取令牌

const token = this.tokenExtractor.getToken() as string;
Run Code Online (Sandbox Code Playgroud)

并将其添加到标题中

this.http.post<any>(url, body, {headers: new HttpHeaders().set('X-XSRF-TOKEN', token)})
Run Code Online (Sandbox Code Playgroud)

侯塞姆

归档时间:

查看次数:

3742 次

最近记录:

7 年,10 月 前
angular4 httpclient csrf不发送x-xsrf-token 20
更多相关链接
相关归档
注册表上是否需要CSRF保护? 36
是否可以使用带有 @Service / @RestController 注解的 Java Records 21
REST和CSRF(跨站点请求伪造) 14
如何在引导程序文件中正确设置不同的Spring配置文件(Spring Boot以不同的Cloud Config服务器为目标)? 14
Spring启动初始化错误 6
如何在tomcat 7中为spring boot 1.2.3制作可部署的war文件 5
禁用 Spring boot websocket MessageBroker 日志的 INFO 级别日志记录 5
如何在 Webflux 功能端点测试中禁用 Spring Security 5
找不到 SwaggerWelcomeCommon 4
编辑值时输入失去焦点。使用ngFor和ngModel。角度5 2
难疑归档
如何在JavaScript中获取查询字符串值? 2701
如何制作一系列功能装饰器? 2647
舍入到最多2位小数(仅在必要时) 2492
如何获得$(this)选择器的子节点? 2182
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
如何为C#Auto-Property提供默认值? 1773
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
PowerShell说"在这个系统上禁用了脚本的执行." 1545
如何在Linux shell脚本中提示是/否/取消输入? 1352
如何查找Python中是否存在目录 1048