我们目前正在使用Slim-PHP REST后端开发Angular4应用程序。现在我们要实现XSRF保护。没有关于Angular2或Angular4的官方教程,如何在客户端使用类XSRFStrategy
,CookieXSRFStrategy
等,这是正确的吗? (我们在服务器端放置了一个XSRF TOKEN cookie,并且不会发送一个XSRF TOKEN-header-parameter的角度。)
我们在论坛中找到了很多主题,但是,所有主题都是个别情况...在页面上" https://angular.io/guide/security"还没有关于如何使用它的详细信息。还是我错过了什么?有人有小费吗?
谢谢!
答案 0 :(得分:4)
这应该是withOptions
而不是withConfig
。即:像这样
HttpClientXsrfModule.withOptions({
cookieName: 'My-Xsrf-Cookie',
headerName: 'My-Xsrf-Header'
}),
答案 1 :(得分:2)
您提供的网址包含指向课程HttpClient的链接,您可在其中找到以下文字:
跨站点请求伪造(XSRF)是一种攻击技术 攻击者可以欺骗经过身份验证的用户无意中执行 您网站上的操作。 HttpClient支持使用的常用机制 防止XSRF攻击。执行HTTP请求时,拦截器 从cookie中读取令牌,默认为XSRF-TOKEN,并将其设置为 HTTP标头,X-XSRF-TOKEN。由于只有您的域上运行的代码 可以读取cookie,后端可以确定HTTP 请求来自您的客户端应用程序,而不是攻击者。
这是可配置的:
如果您的后端服务为XSRF令牌cookie使用不同的名称 或标题,使用
@username2/mypackage
覆盖 默认值。HttpClientXsrfModule.withOptions()