我在网上看到的每个(c / x)srf保护实施都是通过以下流程完成的:
实施第1点不同是否安全?而是发送cookie,在服务器响应中发送令牌(例如标题)?
为什么我要实现这种方式是我的REST API被两个应用程序使用:
单页应用程序 - 用Angular 2和 原生应用程序 - 用电子书写(也使用Angolar 2)
浏览器应用程序托管在与API相同的网址下,因此检索Cookie值没有问题。但是使用电子(本机)应用程序我遇到了问题,当尝试访问cookie值时(这是不可能的,因为cookie由不同的主机设置,然后应用程序正在运行 - 默认情况下,电子应用程序从源{{1}运行对于OSX ie)。
解决此问题的另一种方法是,可以发送cookie,而不是X-XSRF-TOKEN标头。
哪种方法会更好?或者也许有一些不同的方法来防止使用本机应用程序的CSRF
PS:我的所有请求都是在身份验证过程之后完成的,并包含Baerer令牌。