6

我现在迷路了,需要一些帮助。

我有一个

  • SpringBoot 服务器与 SpringSecurtiy 4.3。
  • Angular 5 应用程序

并且想要启用 CSRF 保护,因为它应该在默认情况下启用(文档说):它不是!

在 SpringBoot 上,我需要添加这些安全配置:

http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

在 Angular 上,我需要添加这些模块:

imports: [
    ...,
    HttpClientModule,
    HttpClientXsrfModule, //(!)
...

底线是服务器在每个响应中发送 XRSF-TOKEN。

-但每个人都不同。那是对的吗?我希望在客户端会话中是一样的。

- 这里的主要问题是 Angular5 在它的 post 调用中仍然没有使用 XRSF-TOKEN(例如)。它没有在其请求中设置 X-XSRF-TOKEN。

我做错了什么或错过了什么?

4

1 回答 1

1

我遇到了同样的问题,我认为这是由于 angular 版本 5 导致的回归。

在解决此问题之前,您可以像我一样添加自己的“X-XSRF-TOKEN”标头。

 constructor(private http: HttpClient, private tokenExtractor: HttpXsrfTokenExtractor) {
    }

然后手动提取令牌

const token = this.tokenExtractor.getToken() as string;

并将其添加到标题中

this.http.post<any>(url, body, {headers: new HttpHeaders().set('X-XSRF-TOKEN', token)})

侯赛姆

于 2017-12-18T13:05:03.883 回答