【发布时间】:2018-08-06 21:12:58
【问题描述】:
我们有一个基于会话的 API。该公司正在使用 laravel 获取 api,然后将其发送回 angular 6,他们使用 laravel 而不是直接消费数据的唯一原因只是为了防止 csrf。
是否可以在不使用服务器端后端的情况下防止 csrf?角度拦截器会完成这项工作吗?没有令牌,这是 x-session。
【问题讨论】:
-
从HttpClient开始,可以实现客户端防御这种攻击,但是必须在后端用XSRF-Token完成防御。另外,这种攻击可以利用任何 XSS 漏洞,所以这种攻击永远不是 100% 可防御的。只是一个简短的说明。
-
@dAxx_tbat 这就是我问的原因,因为我很确定我可以在客户端捍卫它。非常感谢您的来信
-
np,这是个好问题。我希望人们能更加关注安全方面。