在AJAX請求的$ http上設置反CSRF令牌是否安全?
[英]Is it safe to set an anti-CSRF token on $http for Ajax requests?
問題描述
在Angular應用程序中為Ajax調用創建和處理反CSRF令牌似乎很簡單,有些人通過將單個令牌應用於每個Ajax調用來解決此問題。 例如這里 。
解決方案非常簡潔。 我們只是在服務器上生成令牌,然后將其與登錄后的第一個加載頁面一起發送。 然后,我們確保它可以與所有將來的所有請求一起使用,例如:
$http.defaults.headers.common['RequestVerificationToken'] = 'token should go here';
但是我擔心這可能會簡化攻擊者的工作。 他們只需要持有$ http即可發出任何有效請求。 是這樣嗎 這種方法安全嗎? 關於Ajax請求和CSRF是否有“最佳實踐”?
1 個解決方案
解決方案1
1 2014-05-28 05:13:36
django:csrf_token在單個頁面上包含多種形式和ajax請求
[英]django: csrf_token for multiple forms and ajax requests on a single page
如何為 ajax Django 中的 POST 請求手動傳遞 CSRF 令牌
[英]How to pass CSRF token manually for POST requests in ajax Django
如何在 Cakephp 3 中的 ajax 調用中定義 CSRF 令牌。此外,對於某些 ajax 請求,CSRF 是如何關閉的
[英]How to define CSRF token in ajax call in Cakephp 3. Also How CSRF can be off for some ajax requests
Rails中的ElasticSearch和AJAX請求出現X-CSRF-Token錯誤
[英]X-CSRF-Token error with ElasticSearch and AJAX requests in Rails
Symfony forms 從 AJAX 請求返回 CSRF 令牌無效
[英]Symfony forms returning CSRF token is invalid from AJAX requests
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
反CSRF令牌和Javascript
將 csrf_token 直接傳遞給 ajax 發布數據是否安全?
django:csrf_token在單個頁面上包含多種形式和ajax請求
如何為 ajax Django 中的 POST 請求手動傳遞 CSRF 令牌
如何在 Cakephp 3 中的 ajax 調用中定義 CSRF 令牌。此外,對於某些 ajax 請求,CSRF 是如何關閉的
Rails中的ElasticSearch和AJAX請求出現X-CSRF-Token錯誤
Symfony forms 從 AJAX 請求返回 CSRF 令牌無效
針對Ajax請求的CSRF保護
Ajax請求中的CSRF
AJAX中缺少CSRF令牌
相關標簽