我提出这个问题是因为在客户端服务器应用程序中,服务器为每个请求发送隐藏在表单中的不同令牌的html.此令牌通过密钥在服务器上构建.
但Angular 2所有形式都已经在客户端上.对于包含令牌的表单,他需要一个密钥在客户端,而对我来说已经是一个安全漏洞.
所以我问这个问题,如果在Angular 2中使用csrf令牌是有意义的吗?如果答案是肯定的,那怎么办呢?
解决方法:
Angular 2包括一个名为double-submit cookie pattern的CSRF / XSRF缓解策略.从Angular documentation开始,
The Angular http client has built-in support for this technique. The default
CookieXSRFStrategylooks for a cookie called XSRF-TOKEN and sets an HTTP request header namedX-XSRF-TOKENwith the value of that cookie on every request. The server must set theXSRF-TOKENcookie, and validate the response header for each state modifying request.
因此,如果您使用的是http服务,则无需在Angular端执行任何额外操作即可获得CSRF保护.服务器需要检查标头和cookie值是否相同.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
