![](/img/trans.png)
[英]AngularJS $Http CORS with backend in Spring Rest & Security
[英]AngularJs + Rest Backend CSRF Security
我正在构建一个简单的AngularJs Web应用程序,该应用程序可以使用Flask构建的REST Api。 据我了解,有几种防止CSRF的方法,其中一种是在用户进行身份验证时发回CSRF令牌。
如果我想让我的API对Web应用程序以及希望将其用作开发API的用户均可用,我是否需要为每个允许POST请求的端点使用2个端点[对于需要CSRF令牌+ auth的应用程序,需要一个端点令牌和一个只需要api访问密钥的开发人员]?
不必要。 大致来说,您有两种选择:
通过Web应用程序在其中运行的任何服务器端容器代理REST API。然后,Web应用程序代理可以实现CSRF保护并将API密钥插入API请求。
检查所有API请求上的引荐来源标头。 尽管这要求您的Angular SPA和API共享相同的身份验证机制,但是您必须使用比API密钥更复杂的功能,例如OAuth。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.