我提出这个问题是因为在客户端服务器应用程序中,服务器为每个请求发送带有隐藏在表单中的不同令牌的 html。此令牌是通过密钥在服务器上构建的。
但是 Angular 2 的所有表单都已经在客户端了。对于一个包含令牌的表单,他需要一个密钥在客户端,这对我来说已经是一个安全漏洞。
所以我问一个问题,在 Angular 2 中使用 csrf 令牌是否有意义?如果答案是肯定的,那该怎么做呢?
【问题讨论】:
标签: javascript angular csrf
Angular 2 包含一个 CSRF/XSRF 缓解策略,称为double-submit cookie pattern。来自Angular documentation,
Angular http 客户端内置了对这种技术的支持。默认的
CookieXSRFStrategy查找一个名为 XSRF-TOKEN 的 cookie,并在每个请求上使用该 cookie 的值设置一个名为X-XSRF-TOKEN的 HTTP 请求标头。服务器必须设置XSRF-TOKENcookie,并验证每个状态修改请求的响应头。
因此,如果您使用http 服务,您无需在 Angular 方面做任何额外的事情来获得 CSRF 保护。服务器需要检查 header 和 cookie 值是否相同。
【讨论】:
csrf 或 XSRF 的内容。所以它出现了 cookie 但与 PyCharm 相关。如果在 Angular 2 中默认有 CSRF 保护,我该如何激活它?