小贝子编程

修复 AngularJS "Cross-Site Request Forgery"漏洞



我致力于解决AngularJS应用程序上的漏洞。 我的应用程序中存在跨站点请求伪造漏洞。

我已经把XSRF-TOKEN放在饼干中

在应用程序内部.js模块:

$http(req).then(function(result) {
$cookieStore.put('XSRF-TOKEN', result.data.session);
}, function(error) {
console.log(error);
}
);
...
...
if ($cookieStore.get('XSRF-TOKEN') == null || $cookieStore.get('XSRF-TOKEN') == "") {
rejection.status = 403;
}

漏洞不会消失。我关注了这篇文章:https://stackoverflow.com/a/22498311/8337391。但这个问题仍然存在。 如果有人能提供一些有用的提示,这将很有帮助。

查看您的代码,看起来您只是在检查 XSRF 值是否存在,这不是您使用 XSRF 令牌所做的 - 您需要为令牌生成一个随机值,然后在每次访问时检查其值。另外,什么工具指示存在 XSRF 问题?

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium