[英]Is it safe to set an anti-CSRF token on $http for Ajax requests?
在Angular應用程序中為Ajax調用創建和處理反CSRF令牌似乎很簡單,有些人通過將單個令牌應用於每個Ajax調用來解決此問題。 例如這里 。
解決方案非常簡潔。 我們只是在服務器上生成令牌,然后將其與登錄后的第一個加載頁面一起發送。 然后,我們確保它可以與所有將來的所有請求一起使用,例如:
$http.defaults.headers.common['RequestVerificationToken'] = 'token should go here';
但是我擔心這可能會簡化攻擊者的工作。 他們只需要持有$ http即可發出任何有效請求。 是這樣嗎 這種方法安全嗎? 關於Ajax請求和CSRF是否有“最佳實踐”?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.