前后端分离框架下csrfToken如何下发?
后端使用了egg框架,可以拿到csrfToken并无感知验证。
问题是前端如何获取这个token
但是项目前后端分离,无法使用ssr把token喷到页面中。
如果再写一个接口去获取token就会把token暴露出来,不安全
如何解?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
login获取token
前后端分离的模式 你可以把前端认为是一个客户端 和ios android的客户端是同级别的
从这个角度来说 前后端分离的模式并不需要csrfToken 只需要登录成功获得token就可以
再写一个接口去获取token就会把token暴露出来,不安全? 假设不是前后端分离项目,csrfToken直接渲染到页面中。这个页面本身是不是也可以认为是另外一种形式的接口?安全体现在哪呢?csrfToken的出现是为了防御CSRF攻击,至于你说的不安全并不是他所关注的点。前后端分离只能使用接口获取了呗。
至于
安全与不安全,只能说是某一方面。就像https比http安全一样,但是他能阻止我用脚本请求接口吗?