Угловой JS проверяет токен CSRF в запросе POST

Question

Угловой JS проверяет токен CSRF в запросе POST

Я использую AngularJS с рельсами. У меня есть следующий запрос, который обновляет пользователей.

 $http{
    method: 'POST',
    url: $scope.update_url,
    params: {selected_ids: userIds}
 }

это не может быть запросом " GET " из-за ограничений по длине URL (http://support.microsoft.com/kb/208427)

но для запроса "POST" нам нужно иметь маркер подлинности CSRF в заголовке.

Как мы можем установить токен CSRF в заголовок запроса post?

27

angularjs javascript-framework

автор: Sabarish Sankar

3 ответов

автор: asgoth · Accepted Answer · 2013-01-01 12:04:40

вы можете установить заголовки http, как описано в $http сервис.

вы можете настроить его глобально:

$httpProvider.defaults.headers.post['My-Header']='value'   (or)
$http.defaults.headers.post['My-Header']='value';

или для одного запроса:

$http({
   headers: {
      'My-Header': 'value'
   }  
});

вот важная цитата из Угловое:

предохранение от подлога запроса перекрестного места (XSRF) XSRF метод мимо который несанкционированном месте может получить личные данные пользователя. Угловатый обеспечивает следующий механизм для противодействия XSRF. Когда выполняя то XHR запросы, служба $http считывает токен из файла cookie с именем XSRF-TOKEN и устанавливает его как HTTP-заголовок X-XSRF-TOKEN. Поскольку только JavaScript, который работает в вашем домене, может читать cookie, ваш сервер можно быть уверенным, что XHR пришел из JavaScript, работающего на вашем домен.

чтобы воспользоваться этим, ваш сервер необходимо поставить маркер в JavaScript-код чтения файла cookie сеанса называется с XSRF-маркер на первый HTTP-запрос GET запрос. На последующее non-GET запросов сервер может проверить, что cookie соответствует http-заголовку X - XSRF-TOKEN и поэтому убедитесь, что только JavaScript, запущенный в вашем домене, мог прочитать токен. Этот маркер должен быть уникальным для каждого пользователя и проверяться сервер (для предотвращения создания собственных токенов JavaScript). Мы рекомендуется, чтобы маркер был дайджестом проверки подлинности вашего сайта печенье с солью для дополнительной безопасности.

автор: The Q CS or GS · Accepted Answer · 2017-05-23 12:32:12

Если вам интересно, как на самом деле установить значение cookie XSRF-TOKEN в Rails, этот ответ имеет реализацию рельсы CSRF защита + угловой.js: protect_from_forgery заставляет меня выйти из POST

автор: theFreedomBanana · Accepted Answer · 2015-12-17 10:56:21

недавно я столкнулся с той же проблемой и добавил камень angular_rails_js ее решили. Насколько я понимаю, он создает для каждого контроллера rails cookie с CSRF-токеном rails, который будет catch (default $http behaviour) по angular $http.