我现在迷路了,需要一些帮助。
我有一个
- SpringBoot 服务器与 SpringSecurtiy 4.3。
- Angular 5 应用程序
并且想要启用 CSRF 保护,因为它应该在默认情况下启用(文档说):它不是!
在 SpringBoot 上,我需要添加这些安全配置:
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
在 Angular 上,我需要添加这些模块:
imports: [
...,
HttpClientModule,
HttpClientXsrfModule, //(!)
...
底线是服务器在每个响应中发送 XRSF-TOKEN。
-但每个人都不同。那是对的吗?我希望在客户端会话中是一样的。
- 这里的主要问题是 Angular5 在它的 post 调用中仍然没有使用 XRSF-TOKEN(例如)。它没有在其请求中设置 X-XSRF-TOKEN。
我做错了什么或错过了什么?