前后端分离框架下csrfToken如何下发?

勇敢的少年
  • 1k

后端使用了egg框架,可以拿到csrfToken并无感知验证。

问题是前端如何获取这个token

但是项目前后端分离,无法使用ssr把token喷到页面中。

如果再写一个接口去获取token就会把token暴露出来,不安全

如何解?

回复
阅读 1.3k
3 个回答
✓ 已被采纳

login获取token

前后端分离的模式 你可以把前端认为是一个客户端 和ios android的客户端是同级别的
从这个角度来说 前后端分离的模式并不需要csrfToken 只需要登录成功获得token就可以

再写一个接口去获取token就会把token暴露出来,不安全? 假设不是前后端分离项目,csrfToken直接渲染到页面中。这个页面本身是不是也可以认为是另外一种形式的接口?安全体现在哪呢? csrfToken的出现是为了防御CSRF攻击,至于你说的不安全并不是他所关注的点。


前后端分离只能使用接口获取了呗。

至于安全不安全,只能说是某一方面。就像httpshttp安全一样,但是他能阻止我用脚本请求接口吗?

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
你知道吗?

宣传栏