标签: angular security csrf
我们有一个基于会话的api。该公司正在使用laravel获取api,然后将其发送回angular 6,这是他们使用laravel而不是直接使用数据的唯一原因只是为了防止csrf。
是否可以在不使用服务器端后端的情况下抵御csrf?角度拦截器能胜任吗?没有令牌,它是x会话。
答案 0 :(得分:2)
您永远无法相信浏览器中发生的任何事情。您始终必须假设用户对浏览器拥有完全的控制权,并且可以随意提取,删除和修改数据。
任何数据操纵或安全敏感的操作都需要在您控制的硬件上进行。