如何在 Angular js 中设置 XSRF 保护？

Question

我正在使用 angularJs、资源和 jersey rest api 开发一个应用程序。我想在我的项目中实现 xsrf 保护。请提出一个更好的例子。我在这里有一个例子，但它使用了 ColdFusion。 http://www.bennadel.com/blog/2568-Preventing-Cross-Site-Request-Forgery-CSRF-XSRF-With-AngularJS-And-ColdFusion.htm

Answer 1

与给定的示例不同，您需要做两件事：

1. 当主页面在用户登录后加载时，您需要设置一个名为 XSRF-COOKIE 的会话 cookie。然后 AngularJS 将按照文档 (1) 中的说明在每个请求中附加一个标头来完成剩下的工作
2. 您需要通过比较 cookie 中的令牌和标头中的令牌来验证后端对您的 REST API 的每次调用（例如使用拦截器）。该逻辑在您引用的页面上进行了描述

(1) 要利用这一点，您的服务器需要在第一个 HTTP GET 请求上设置一个名为 XSRF-TOKEN 的 JavaScript 可读会话 cookie 中的令牌。 CSRF Protection section in Documentation

Answer 2

如果这是您在 jsp/html 页面中设置标题和令牌的代码：

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

您可以将所有 ajax 请求的 csrf 标头配置为 follows：

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

angular.module("app", [])
.config(['$httpProvider', function ($httpProvider) {
    $httpProvider.defaults.headers.common[header] = token;
}]);

然后你的http请求代码如下：

$http({
    url: "loadMyData.htm",
    method: "POST",
}).success(function(data)
{
    console.log(data);
})

Answer 3

使用以下命令创建拦截器。

intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
     const cookie = this.cookieService.get('XSRF-TOKEN');
    request = request.clone({
      headers: new HttpHeaders({
        'XSRF-TOKEN': cookie,

      }),
    withCredentials: true
 });
 return next.handle(request);
}