我有一个带有播放框架的 Angular js Web 应用程序作为服务器端。我正在使用 Google plus 登录按钮对用户进行身份验证。我需要在服务器端验证我所有的 ajax 调用。在浏览了网上可用的文档后,我对每个选项都有几个选项和问题。
连接点:Javascript Google 登录,成功登录后,回调一个 javascript 方法。与回调一起返回的 id_token 需要按照此处的建议通过服务器端再次验证。因此,此时可以在服务器端调用中添加上述选项
- 使用 HttpOnly cookie 并在每个 ajax 调用中检查它。我们能保证这也能防止 CSRF 攻击吗?
- 设置一个 XSRF-TOKEN cookie,但是它应该设置为 HttpOnly = false。只有这样 angularjs 才能读取它并将其设置为来自它的所有请求中的 X-XSRF-TOKEN 标头。公开一个 javascript 可读的 cookie 并在以后依赖它是安全的是否安全?