在AJAX请求的$ http上设置反CSRF令牌是否安全?
[英]Is it safe to set an anti-CSRF token on $http for Ajax requests?
问题描述
在Angular应用程序中为Ajax调用创建和处理反CSRF令牌似乎很简单,有些人通过将单个令牌应用于每个Ajax调用来解决此问题。 例如这里 。
解决方案非常简洁。 我们只是在服务器上生成令牌,然后将其与登录后的第一个加载页面一起发送。 然后,我们确保它可以与所有将来的所有请求一起使用,例如:
$http.defaults.headers.common['RequestVerificationToken'] = 'token should go here';
但是我担心这可能会简化攻击者的工作。 他们只需要持有$ http即可发出任何有效请求。 是这样吗 这种方法安全吗? 关于Ajax请求和CSRF是否有“最佳实践”?
1 个解决方案
解决方案1
1 2014-05-28 05:13:36
django:csrf_token在单个页面上包含多种形式和ajax请求
[英]django: csrf_token for multiple forms and ajax requests on a single page
如何为 ajax Django 中的 POST 请求手动传递 CSRF 令牌
[英]How to pass CSRF token manually for POST requests in ajax Django
如何在 Cakephp 3 中的 ajax 调用中定义 CSRF 令牌。此外,对于某些 ajax 请求,CSRF 是如何关闭的
[英]How to define CSRF token in ajax call in Cakephp 3. Also How CSRF can be off for some ajax requests
Rails中的ElasticSearch和AJAX请求出现X-CSRF-Token错误
[英]X-CSRF-Token error with ElasticSearch and AJAX requests in Rails
Symfony forms 从 AJAX 请求返回 CSRF 令牌无效
[英]Symfony forms returning CSRF token is invalid from AJAX requests
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
反CSRF令牌和Javascript
将 csrf_token 直接传递给 ajax 发布数据是否安全?
django:csrf_token在单个页面上包含多种形式和ajax请求
如何为 ajax Django 中的 POST 请求手动传递 CSRF 令牌
如何在 Cakephp 3 中的 ajax 调用中定义 CSRF 令牌。此外,对于某些 ajax 请求,CSRF 是如何关闭的
Rails中的ElasticSearch和AJAX请求出现X-CSRF-Token错误
Symfony forms 从 AJAX 请求返回 CSRF 令牌无效
针对Ajax请求的CSRF保护
Ajax请求中的CSRF
AJAX中缺少CSRF令牌
相关标签