restful跨域情况下客户端首次请求如何获取csrf token?
根据eggjs的官方文档:
在 CSRF 默认配置下,token 会被设置在 Cookie 中,在 AJAX 请求的时候,可以从 Cookie 中取到 token,放置到 query、body 或者 header 中发送给服务端。In jQuery:
var csrftoken = Cookies.get('csrfToken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader('x-csrf-token', csrftoken);
}
},
});restful并且跨域的情况下,请求的页面文件并不会经过eggjs服务器,因此也不会在cookie中种上csrf token,当首次请求为post(例如登陆),此时客户端cookie中还没有csrf token因此请求肯定会失败,再次发起请求后才能读取到cookie中的csrf token,怎么解决这个问题?
补充:基于token验证的restful是不是没有csrf风险了?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
csrf token 只能由服务器端返回,通过csrf 白名单吧