极客观点
项目管理
HarmonyOS
根据eggjs的官方文档:
在 CSRF 默认配置下,token 会被设置在 Cookie 中,在 AJAX 请求的时候,可以从 Cookie 中取到 token,放置到 query、body 或者 header 中发送给服务端。In jQuery:
var csrftoken = Cookies.get('csrfToken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader('x-csrf-token', csrftoken);
}
},
});restful并且跨域的情况下,请求的页面文件并不会经过eggjs服务器,因此也不会在cookie中种上csrf token,当首次请求为post(例如登陆),此时客户端cookie中还没有csrf token因此请求肯定会失败,再次发起请求后才能读取到cookie中的csrf token,怎么解决这个问题?
补充:基于token验证的restful是不是没有csrf风险了?
csrf token 只能由服务器端返回,通过csrf 白名单吧