【问题标题】:Is it possible to protect against csrf without using a backend in angular 6?是否可以在不使用 Angular 6 的后端的情况下防止 csrf?
【发布时间】:2018-08-06 21:12:58
【问题描述】:

我们有一个基于会话的 API。该公司正在使用 laravel 获取 api,然后将其发送回 angular 6,他们使用 laravel 而不是直接消费数据的唯一原因只是为了防止 csrf。

是否可以在不使用服务器端后端的情况下防止 csrf?角度拦截器会完成这项工作吗?没有令牌,这是 x-session。

【问题讨论】:

  • 从HttpClient开始,可以实现客户端防御这种攻击,但是必须在后端用XSRF-Token完成防御。另外,这种攻击可以利用任何 XSS 漏洞,所以这种攻击永远不是 100% 可防御的。只是一个简短的说明。
  • @dAxx_tbat 这就是我问的原因,因为我很确定我可以在客户端捍卫它。非常感谢您的来信
  • np,这是个好问题。我希望人们能更加关注安全方面。

标签: angular security csrf


【解决方案1】:

您永远不能相信浏览器中发生的任何事情。您必须始终假设用户对浏览器具有完全的控制权,并且可以随意提取、删除和修改数据。

任何数据操作或安全敏感操作都需要在您控制的硬件上进行。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-03-13
    • 1970-01-01
    • 2016-09-01
    • 1970-01-01
    相关资源
    最近更新 更多