Angular9 中文教程
Angular9 中文教程
  1. Anguler9 中文教程总览
    1. Angular9 简介
  2. Angular9 快速上手
    1. Angular9 搭建环境
    2. Angular9 基本概念
      1. Angular9 架构概览
      2. Angular9 模块简介
      3. Angular9 组件简介
      4. Angular9 服务与 DI 简介
      5. Angular9 技能扩展
    3. Angular9 英雄指南
      1. Hero guide 简介
      2. Hero guide 创建项目
      3. Hero guide 编辑器
      4. Hero guide 显示列表
      5. Hero guide 创建特性组件
      6. Hero guide 添加服务
      7. Hero guide 添加应用内导航
      8. Hero guide 从服务器端获取数据
    4. Angular9 词汇表
  3. Angular9 基础知识
    1. Angular9 组件与模板
      1. Angular9 显示数据
      2. Angular9 模板语法
      3. Angular9 用户输入
      4. Angular9 属性型指令
      5. Angular9 结构型指令
      6. Angular9 管道
      7. Angular9 生命周期钩子
      8. Angular9 组件交互
      9. Angular9 组件样式
      10. Angular9动态组件
      11. Angular9 元素
    2. Angular9 表单与用户输入
      1. Angular9 表单简介
      2. Angular9 响应式表单
      3. Angular9 验证表单输入
      4. Angular9 构建动态表单
    3. Angular9 Observable 与 RxJS
      1. Angular9 Observable 概览
      2. Angular9 RxJS库
      3. Angular9 可观察对象
      4. Angular9 可观察对象用法实战
      5. Angular9 与其他技术比较
    4. Angular9 NgModule
      1. Angular9 NgModules 简介
      2. Angular9 JS 模块与 NgMoudule 比较
      3. Angular9 以根模块启动应用
      4. Angular9 常用模块
      5. Angular9 特性模块分类
      6. Angular9 入口组件
      7. Angular9 特性模块
      8. Angular9 提供依赖
      9. Angular9 单例服务
      10. Angular9 惰性加载
      11. Angular9 共享特性模块
      12. Angular9 NgModule API
      13. Angular9 NgModule 常见问题
    5. Angular9 依赖注入
      1. Angular9 依赖注入
      2. Angular9 多级注入器
      3. Angular9 DI 提供者
      4. Angular9 DI 实战
      5. Angular9 浏览组件树
    6. Angular9 通过 HTTP 访问服务器
      1. Angular9 准备工作
      2. Angular9 请求数据
      3. Angular9 处理请求错误
      4. Angular9 向服务器发送数据
      5. Angular9 配置 URL 参数
      6. Angular9 拦截请求和响应
      7. Angular9 跟踪和显示请求进度
      8. Angular9 防抖优化
      9. Angular9 XSRF 防护
      10. Angular9 测试 HTTP 请求
    7. Angular9 路由与导航
      1. Angular9 生成路由应用
      2. Angular9 定义基本路由
      3. Angular9 获取路由信息
      4. Angular9 设置通配符路由
      5. Angular9 嵌套路由
      6. Angular9 相对路径
      7. Angular9 访问查询参数与片段
      8. Angular9 路由器教程
        1. Route 起步
        2. Route 路由模块
        3. Route特性区
        4. Route 子路由
        5. Route 路由守卫
        6. Route 异步路由
      9. Angular9 LocationStrategy 和浏览器网址样式
      10. Angular9 <base href>
      11. Angular9 路由器参考手册
    8. Angular9 安全
      1. Angular9 防范跨站脚本(XSS)攻击
      2. Angular9 信任安全值
      3. Angular9 HTTP级别漏洞
阅读(2k) 书签 (0) 我要纠错

Angular9 XSRF 防护

2020-07-06 15:54 更新

跨站请求伪造 (XSRF 或 CSRF)是一个攻击技术,它能让攻击者假冒一个已认证的用户在你的网站上执行未知的操作。HttpClient 支持一种通用的机制来防范 XSRF 攻击。当执行 HTTP 请求时,一个拦截器会从 cookie 中读取 XSRF 令牌(默认名字为 XSRF-TOKEN),并且把它设置为一个 HTTP 头 X-XSRF-TOKEN,由于只有运行在你自己的域名下的代码才能读取这个 cookie,因此后端可以确认这个 HTTP 请求真的来自你的客户端应用,而不是攻击者。

默认情况下,拦截器会在所有的修改型请求中(比如 POST 等)把这个请求头发送给使用相对 URL 的请求。但不会在 GET/HEAD 请求中发送,也不会发送给使用绝对 URL 的请求。

要获得这种优点,你的服务器需要在页面加载或首个 GET 请求中把一个名叫 XSRF-TOKEN 的令牌写入可被 JavaScript 读到的会话 cookie 中。 而在后续的请求中,服务器可以验证这个 cookie 是否与 HTTP 头 X-XSRF-TOKEN 的值一致,以确保只有运行在你自己域名下的代码才能发起这个请求。这个令牌必须对每个用户都是唯一的,并且必须能被服务器验证,因此不能由客户端自己生成令牌。把这个令牌设置为你的站点认证信息并且加了盐(salt)的摘要,以提升安全性。

为了防止多个 Angular 应用共享同一个域名或子域时出现冲突,要给每个应用分配一个唯一的 cookie 名称。

注:

HttpClient 支持的只是 XSRF 防护方案的客户端这一半。 你的后端服务必须配置为给页面设置 cookie,并且要验证请求头,以确保全都是合法的请求。如果不这么做,就会导致 Angular 的默认防护措施失效。

配置自定义 cookie/header 名称

如果你的后端服务中对 XSRF 令牌的 cookie 或 头使用了不一样的名字,就要使用 HttpClientXsrfModule.withConfig() 来覆盖掉默认值。

imports: [
  HttpClientModule,
  HttpClientXsrfModule.withOptions({
    cookieName: 'My-Xsrf-Cookie',
    headerName: 'My-Xsrf-Header',
  }),
],
以上内容是否对您有帮助:
Angular9 防抖优化
Angular9 测试 HTTP 请求
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号