角度js中的HttpOnly cookie和XSRF-TOKEN

时间:2016-02-10 06:26:52

标签: angularjs playframework-2.0 csrf httponly cookie-httponly

我有一个带有播放框架作为服务器端的角度js web应用程序。我使用Google plus登录按钮来验证用户身份。我需要在服务器端验证我所有的ajax调用。在浏览了网上提供的文档之后,我有几个选项和问题。

连接点:Javascript Google登录,成功登录后,回调javascript方法。与回调一起返回的id_token需要通过服务器端再次按照建议的here进行验证。因此,此时可以在服务器端调用

上添加上述选项
  1. 使用HttpOnly cookie并在每次ajax调用时检查它。我们可以放心,这也可以防止CSRF攻击吗?
  2. 设置XSRF-TOKEN cookie,但应将其设置为HttpOnly = false。只有这时,angularjs才能读取它,并在源自它的所有请求中将其设置为X-XSRF-TOKEN标头。暴露一个javascript可读的cookie然后依赖它是否安全是否安全?

0 个答案:

没有答案
相关问题
最新问题