restful跨域情况下客户端首次请求如何获取csrf token?

Gingbery
  • 205

根据eggjs的官方文档:

在 CSRF 默认配置下,token 会被设置在 Cookie 中,在 AJAX 请求的时候,可以从 Cookie 中取到 token,放置到 query、body 或者 header 中发送给服务端。

In jQuery:

var csrftoken = Cookies.get('csrfToken');

function csrfSafeMethod(method) {
  // these HTTP methods do not require CSRF protection
  return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
  beforeSend: function(xhr, settings) {
    if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
      xhr.setRequestHeader('x-csrf-token', csrftoken);
    }
  },
});

restful并且跨域的情况下,请求的页面文件并不会经过eggjs服务器,因此也不会在cookie中种上csrf token,当首次请求为post(例如登陆),此时客户端cookie中还没有csrf token因此请求肯定会失败,再次发起请求后才能读取到cookie中的csrf token,怎么解决这个问题?

补充:基于token验证的restful是不是没有csrf风险了?

回复
阅读 3.1k
1 个回答

csrf token 只能由服务器端返回,通过csrf 白名单吧

宣传栏