從服務器到AngularJS客戶端的CSRF令牌交換
[英]CSRF token exchange from server to AngularJS client
問題描述
我很瘋狂,試圖弄清楚如何為我的Web應用程序實現CSRF保護。 我已經閱讀了成千上萬的頁面,但仍無法根據自己的具體情況決定解決方案。
因此,首先,我的Web應用是用Angular編寫的,並靜態部署在Apache服務器上。 它在戰爭中部署在我的服務器上的Java類型的一些服務上,這些服務部署在應用程序服務器上。 兩者都部署在同一域中。 身份驗證后,將在響應中設置常規會話cookie(安全+ HttpOnly)。
現在,我想基於同步器令牌或雙提交cookie模式實現CSRF保護(但是從我看到的第一個來看,這是一個更好的解決方案,因為我可以處理服務器端的狀態)。
我看到的大多數解決方案都建議生成令牌服務器端並將其存儲在cookie中,以便可以在客戶端進行訪問。 使其起作用的約束(我想這是一個很大的約束)是cookie不能為HttpOnly,因為Javascript無法訪問它。 此外,我感覺在一個未完全保護的cookie中共享令牌不是一個好主意。 但這似乎是AngularJS的推薦解決方案...
所以,如果我放棄這個解決方案,我剩下什么呢? 將令牌不是放在cookie中,而是放在響應頭中? 安全嗎? 公開服務以獲取令牌? 似乎實用,但不確定是否是個好主意? 像在OWASP Guard中一樣,公開一個servlet來構建一個提供令牌的Javascript? 還要別的嗎?
編輯:看來Spring打算在HTTP響應中注入令牌名稱和值作為解決方案。
謝謝你的幫助!
1 個解決方案
解決方案1
0 2017-10-06 21:05:21
- CSRF令牌應在每個用戶會話中生成一次。
- 它應該存儲在服務器端會話中(對於Java,則為HttpSession)
- 客戶端應將令牌作為隱藏參數存儲在瀏覽器的Cookie中,而不是在其中。
- 服務器應驗證每個請求的CSRF令牌是否存在,並與會話中存儲的令牌進行比較。
更多詳細信息: https : //www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
實現遠程 oauth 服務器並與客戶端交換令牌,無需在服務器上保存令牌
[英]implement remote oauth server and exchange token with client without save token on server
使用Java Jackrabbit Web DAV客戶端從Exchange Server 2003下載電子郵件附件
[英]Download email attachment from exchange server 2003 using java jackrabbit web dav client
如何讓我的 Java 聊天客戶端和服務器從文本字段交換消息
[英]How can I get my java chat client and server to exchange messages from a textfield
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
將CSRF令牌傳遞給客戶端應用程序
實現遠程 oauth 服務器並與客戶端交換令牌,無需在服務器上保存令牌
找不到AngularJS HTTP POST預期的CSRF令牌
CSRF 令牌已與此客戶端關聯
CSRF Guard:如何從URL隱藏CSRF令牌
如何在 java REST 客戶端中獲取有效的 X-CSRF-TOKEN?
Java:簡單客戶端服務器消息交換不起作用
使用Java Jackrabbit Web DAV客戶端從Exchange Server 2003下載電子郵件附件
如何讓我的 Java 聊天客戶端和服務器從文本字段交換消息
spring oauth2 客戶端憑據流中的令牌交換
相關標簽