XSRF

refer : https://docs.angularjs.org/api/ng/service/$http (search : Cross Site Request Forgery (XSRF) Protection)

发生在 user 登入后, 访问恶意网页, 恶意网页submit一个form post 请求去做一些坏事.

解决方式是user登入后给user一个random token在cookie里, 每一次user请求都必须把这个 token 放入header 或者 postData 中.

server side 必须确保这个 request 给予的 token 和 cookie 是符合的.

由于跨站点是没办法获取到cookie内的值的,所以恶意网页没办法获取到token,也就没办法把token值放入 header,这样就不可能通过验证了咯。

以上.

 

posted @   兴杰  阅读(302)  评论(0编辑  收藏  举报
(评论功能已被禁用)
编辑推荐:
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
阅读排行:
· 百万级群聊的设计实践
· 全网最简单!3分钟用满血DeepSeek R1开发一款AI智能客服,零代码轻松接入微信、公众号、小程
· .NET 10 首个预览版发布,跨平台开发与性能全面提升
· 《HelloGitHub》第 107 期
· 从文本到图像:SSE 如何助力 AI 内容实时呈现?(Typescript篇)
历史上的今天:
2015-05-22 angularjs directive and component 指令与组件 ( 1.5.0 以后 )
点击右上角即可分享
微信分享提示