我正在使用 express.js 和 github.com/expressjs/csurf 。
我也在使用SPA(React,Vue)。
csurf 正在创建仅包含salt的cookie(或使用会话cookie来存储盐),但它没有创建的是{{1}的cookie }。
因此我无法在任何地方找到POST端点的令牌。
做什么:
如果我使用令牌创建cookie(在每个请求上并使用token)并将其与客户端一起使用(读取cookie)作为请求标头的值(例如:“ X- CSRF-TOKEN”)?
这是一个安全问题吗?这是最佳选择吗?