如何将 csrf 令牌添加到 Angular 2 应用程序

Question

由于维护 angular2 和 spring 应用程序之间的用户会话，我在 java 后端（在 SecurityConfig.java 文件中）启用了 CSRF。但是当 post 提交触发时，我没有看到任何 CSRF 令牌绑定到 POST 请求。

如何将 CSRF 令牌添加到我的 angular2 应用程序。 （添加到发布请求）

---

loginService.ts

  userLogin(loginDTO){
    let headers = new Headers({ 'Content-Type': 'application/json' });
    let options = new RequestOptions({ headers: headers });

    var result = this._http.post(this._rest_service_login, JSON.stringify(loginDTO),options)
        .map(res => res.json());
    return result;
}

Answer 1

你应该看看developer guide of Angular2。您可以使用提供者来实施策略（或使用现有策略）。

RC.5

@NgModule({
 (...) 
    providers: 
    [
        { provide: XSRFStrategy, useValue: new CookieXSRFStrategy('myCookieName', 'My-Header-Name')},
    ]
}) 
export class AppModule { }

RC.4

bootstrap(
    AppComponent,
    [
        { provide: XSRFStrategy, useValue: new CookieXSRFStrategy('myCookieName', 'My-Header-Name')},
    ]
);

您还可以使用以下提供程序{ provide: XSRFStrategy, useClass: MyXSRFStrategy} 为您的应用程序实施自定义策略。

Answer 2

在直接使用new CookieXSRFStrategy('myCookieName', 'My-Header-Name')} 时，您可能拥有CookieXSRFStrategy: Calling function 'CookieXSRFStrategy', function calls are not supported。使用工厂来避免此错误，如下所示：

@NgModule({
 (...) 
    providers: 
    [
        { provide: XSRFStrategy, useFactory: xsrfFactory},
    ]
}) 
export class AppModule { }

export function xsrfFactory() {
    return new CookieXSRFStrategy('myCookieName', 'My-Header-Name');
}

Answer 3

你能通过下面的JavaScript读取cookie值（默认为“XSRF-TOKEN”）吗？

document.cookie

（不是开发者工具。）

如果无法读取，你可能搞错了如何设置cookie。

cookie 路径必须设置为 root("/")，如下所示。

cookie.setPath("/");

Answer 4

就我而言，问题出在背面（正如正确指出的 harufumi.abe） - 我的 cookie 带有路径 /my-domain 而不是 /。 在后端添加设置后（spring boot 2.0）

# Path of the session cookie.
server.servlet.session.cookie.path=/

一切都开箱即用。