如何保护单页WebAPI免受CSRF攻击?
[英]How to protect Single Page WebAPI from CSRF attacks?
问题描述
我有一个使用angularjs构建的单页应用程序,该应用程序使用$ http服务发出GET和POST请求。 该网站不对用户进行身份验证,并且是匿名的。 有没有办法防止匿名网站的CSRF攻击? 我在使用$ http服务的angularjs中找到了许多实现它的帖子。 但是我不知道它是否也适用于匿名应用程序。 任何人都可以请教吗? 谢谢!
2 个解决方案
解决方案1
1 2016-11-03 02:18:34
我认为,如果您的应用程序不对用户进行身份验证,则无需担心CSRF攻击。
“跨站点请求伪造(CSRF)是一种攻击,是在恶意网站,电子邮件,博客,即时消息或程序导致用户的Web浏览器在用户所信任的站点上执行有害操作时发生的目前已通过验证。” 这来自https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
它说:“ 使用户的Web浏览器在用户当前通过身份验证的受信任站点上执行有害操作 ”。
解决方案2
1 已采纳 2016-11-03 07:33:05
如果您没有身份验证,则无需担心CSRF。 此外,如果添加作为标头传递的令牌身份验证,则也不必担心。
CSRF的问题是另一个站点自动使用身份验证cookie到您的站点。
也许您担心其他问题,而不是CSRF? 由于整个网站都是公开的且匿名的,您究竟担心什么?
Rails CSRF Protection + Angular.js:protect_from_forgery让我退出POST
[英]Rails CSRF Protection + Angular.js: protect_from_forgery makes me to log out on POST
AngularJS-如何使控制台或恶意攻击无法访问令牌?
[英]AngularJS - How to make a token inaccessible from console or malicious attacks?
如何保护AngularJS的子页面中受影响的母版页控制器
[英]how to protect master page controller affected in child page in angularjs
在WebApi2中,如何从存储过程中检索结果集并反射回Angular Page
[英]In WebApi2, how to retrieve resultset from stored procedure and reflect back to Angular Page
如何在角度页面中设置CSRF令牌 - OWASP CSRFGuard 3.0
[英]How to set CSRF token in angular page - OWASP CSRFGuard 3.0
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何保护我的api呼叫免受CSRF攻击
REST /无状态:CSRF攻击并记住已登录的用户
Rails CSRF Protection + Angular.js:protect_from_forgery让我退出POST
AngularJS-如何使控制台或恶意攻击无法访问令牌?
如何保护AngularJS的子页面中受影响的母版页控制器
在WebApi2中,如何从存储过程中检索结果集并反射回Angular Page
如何保护angularJS控制器免受破坏
如何保护Firebase应用程序免受无限循环的影响?
如何在角度页面中设置CSRF令牌 - OWASP CSRFGuard 3.0
如何将对象从角度发布到Webapi控制器
相关标签