【发布时间】:2017-01-21 14:01:53
【问题描述】:
我在Symfony REST 项目中的CSRF 实现存在问题。我正在使用AngularJS,AuthToken cookie 使用NG $cookie 服务存储,并在X-Auth-Token header 中的每个请求中发送到服务器,问题是我真的需要实现CSRF 保护吗?
其他问题,如果答案是肯定的,我怎么能用Symfony 做到这一点?因为它将令牌存储在服务器会话中,而不是RESTful,所以实现Django 像CSRF 系统的最佳方法是什么(我猜他们将CSRF 令牌存储在cookie 中,然后比较它到表单输入令牌?
对不起我的英语不好,谢谢!
【问题讨论】:
-
CSRF 令牌用于确保在会话打开时粗略的脚本或页面无法向您的站点发送请求,因此您使用 CSRF 令牌来证明您是谁是。如果您在应用程序中存储令牌,然后在每个请求中发送该令牌,则无需使用 CSRF,因为您正在使用身份验证令牌证明您是谁。
标签: php angularjs symfony security csrf