背景:
我正在构建一个Angular SPA,最终将在IIS上托管,与Identity Server一起进行OpenID Connect Auhtentication .
我正在寻找防止XSRF和XSS攻击的策略 .
我引用了这个文档https://angular.io/guide/security . Angular通过Sanitization处理XSS,并提供了一种使用HttpClient库来处理XSRF令牌的方法 .
在我的REST API上 - 我已经配置了CORS,只允许受信任的域 . 计划使用https,content-security-policy,X-Frame选项:IIS设置中的相同来源 .
问题:
1)我的APP是从Angular CLI生成的纯Angular SPA,如何设置XSRF cookie? 2)即使我设置了XSRF cookie,如何在不同的域上处理它们?截至目前,我可以灵活地将REST API配置为子域,可能有办法处理它 .
总体而言,防止跨站点请求伪造的最佳方法是什么?