简单地编写以下代码以防止客户端app.module中的XSRF/CSRF就足够了吗?
HttpClientXsrfModule.withOptions({
cookieName: 'XSRF-TOKEN',
headerName: 'X-XSRF-TOKEN'
})
还是服务器上仍然需要一些额外的逻辑(Express/NestJS(?
您的服务器需要实现 csrf 令牌。然后,客户端将令牌发回,以便在您的服务器上进行检查。有关更多信息,请参阅了解 csrf 令牌。
要向 nestjs 应用程序添加 csrf 支持,您可以使用 csurf 中间件,请参阅 nest 安全文档:
首先安装 csurf:
$ npm i --save csurf
然后在main.ts中添加中间件
import * as csurf from 'csurf';
app.use(csurf());