[英]Is it safe to set an anti-CSRF token on $http for Ajax requests?
在Angular应用程序中为Ajax调用创建和处理反CSRF令牌似乎很简单,有些人通过将单个令牌应用于每个Ajax调用来解决此问题。 例如这里 。
解决方案非常简洁。 我们只是在服务器上生成令牌,然后将其与登录后的第一个加载页面一起发送。 然后,我们确保它可以与所有将来的所有请求一起使用,例如:
$http.defaults.headers.common['RequestVerificationToken'] = 'token should go here';
但是我担心这可能会简化攻击者的工作。 他们只需要持有$ http即可发出任何有效请求。 是这样吗 这种方法安全吗? 关于Ajax请求和CSRF是否有“最佳实践”?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.