XSRF-TOKEN没有被Angular 2发送,因为它说它默认会这样做

时间:2017-02-08 08:16:38

标签: javascript angular cookies csrf-protection

我的登录请求的响应如下所示: -

  • 它有Cookie JSESSIONID和XSRF-TOKEN

enter image description here

现在,其他后续请求如下所示。我读到默认情况下Angular 2从cookie获取值并附加到每个后续请求的标题但是它没有这样做。

enter image description here

请让我知道我应该怎么做,以便Angular自动和全局地接收它。

CORS SETUP

res.set('Access-Control-Allow-Origin', req.headers.origin);
    res.set('Access-Control-Allow-Methods', 'GET, PUT, POST, DELETE,OPTIONS');
    res.set('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Origin, Authorization, Accept, Client-Security-Token, Accept-Encoding');
    res.set('Access-Control-Allow-Credentials', true);

1 个答案:

答案 0 :(得分:1)

您正在制作GET请求并期待XSRF令牌

  

默认情况下,拦截器会在所有变更请求上发送此cookie   (POST等)到相对URL但不在GET / HEAD请求上或打开   请求使用绝对URL。

https://angular.io/guide/http#security-xsrf-protection