首页 文章

angular4 angular2 - XSRF保护

提问于
浏览
2

我们目前正在开发一个带有Slim-PHP REST后端的Angular4应用程序 . 现在我们要实现XSRF保护 . 在Angular2或Angular4上没有官方教程,如何在客户端使用类 XSRFStrategyCookieXSRFStrategy 等,这是正确的吗? (我们在服务器端放置了一个XSRF TOKEN cookie,并且该角度不会发送XSRF TOKEN-header-parameter) .

我们在论坛中发现了许多线程,但是,所有线程都有个别情况...在页面“https://angular.io/guide/security”上也没有关于如何使用它的详细信息 . 还是我错过了什么?有人有小费吗?

谢谢!

angular csrf

2 回答

  • 4

    您提供的网址包含指向类HttpClient的链接,您可在其中找到以下文本:

    跨站点请求伪造(XSRF)是一种攻击技术,攻击者可以通过该技术欺骗经过身份验证的用户在您的网站上无意中执行操作 . HttpClient支持用于防止XSRF攻击的常用机制 . 执行HTTP请求时,拦截器从cookie中读取令牌,默认为XSRF-TOKEN,并将其设置为HTTP头X-XSRF-TOKEN . 由于只有在您的域上运行的代码才能读取cookie,因此后端可以确定HTTP请求来自您的客户端应用程序而不是攻击者 .

    这是可配置的:

    如果您的后端服务对XSRF令牌cookie或标头使用不同的名称,请使用HttpClientXsrfModule.withOptions()覆盖默认值 . 进口:[HttpClientModule,
    HttpClientXsrfModule.withOptions({
    cookieName:'My-Xsrf-Cookie',
    headerName:'My-Xsrf-Header'
    })]

    回复于
  • 2

    这应该是 withOptions 而不是 withConfig . 即:像这样

    HttpClientXsrfModule.withOptions({
  cookieName: 'My-Xsrf-Cookie',
  headerName: 'My-Xsrf-Header'
}),
    回复于

相关问题