我正在使用 angularJs、资源和球衣休息 API 开发一个应用程序。我想在我的项目中实现xsrf保护。请建议一个更好的例子。我这里有一个例子,但它使用 ColdFusion。http://www.bennadel.com/blog/2568-Preventing-Cross-Site-Request-Forgery-CSRF-XSRF-With-AngularJS-And-ColdFusion.htm http://www.bennadel.com/blog/2568-Preventing-Cross-Site-Request-Forgery-CSRF-XSRF-With-AngularJS-And-ColdFusion.htm
与给定的示例不同,您需要做两件事:
- 当用户登录后加载主页时,您需要设置一个名为 XSRF-COOKIE 的会话 cookie。然后 AngularJS 将按照文档 (1) 中的说明向每个请求附加标头来完成剩下的工作
- 您需要通过比较 cookie 中的令牌和标头中的令牌来验证后端对 Rest API 的每次调用(例如使用拦截器)。您引用的页面上描述了逻辑
(1) 要利用此优势,您的服务器需要在第一个 HTTP GET 请求上在名为 XSRF-TOKEN 的 JavaScript 可读会话 cookie 中设置一个令牌。文档中的 CSRF 保护部分 https://docs.angularjs.org/api/ng/service/%24http#security-considerations
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)