我正在开发一个使用angularJs,资源和泽西休息api的应用程序.我想在我的项目中实现xsrf保护.请提出一个更好的例子.我在这里有一个例子,但它使用ColdFusion.http://www.bennadel.com/blog/2568-Preventing-Cross-Site-Request-Forgery-CSRF-XSRF-With-AngularJS-And-ColdFusion.htm
与给定的示例不同,您需要做两件事:
当用户登录后加载主页面时,您需要设置名为XSRF-COOKIE的会话cookie.然后AngularJS将通过在文档(1)中声明的每个请求附加标题来完成剩下的工作
您需要通过比较cookie中的标记和标头中的标记,在后端验证对后端API的每次调用(例如使用拦截器).逻辑在您引用的页面上描述
(1)为了利用这一点,您的服务器需要在第一个HTTP GET请求中在名为XSRF-TOKEN的JavaScript可读会话cookie中设置令牌.文档中的CSRF保护部分
京公网安备 11010802040832号 | 京ICP备19059560号-6 