- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
任务描述
我为我的 Angular 应用程序实现了 CRSF 保护。服务器检查 crsf token 是否位于请求的 header “X-CSRF-TOKEN”中。如果不是,它会发送一个 HTTP 响应 403。
Ïn 我的客户端拦截所有请求并检查是否返回 403 HTTP 响应。在这种情况下,我发送一个 HEAD 请求,以便从服务器获取 crsf token ,该 token 在响应的 header “X-CSRF-TOKEN”中返回。
从服务器获取 token 后,我使用 header “X-CSRF-TOKEN”中给定的 crsf token 重新发送原始请求。
问题描述
除了 Internet Explorer(试过 IE 9 和 10)之外,这适用于所有浏览器。在本地(没有代理和防火墙)它也适用于 Internet Explorer。但在我们的生产环境中,head 请求等待 360 秒,但随后返回预期的响应。
我不确定发生了什么。为什么它在localhost上有效,但在生产环境中却无效?会不会是代理的问题?但为什么它适用于所有其他浏览器(chrome、firefox 等)?即使在 6 分钟后,IE 也会得到正确的答案并按预期进行。对我来说,它看起来不像是代理问题。那么,这是IE的问题吗?但为什么它在本地主机上工作?
IE和其他浏览器的请求唯一不同的是header中的referer: - 在 IE 中,referer 看起来像 http://url/context-root/#/login - 在其他浏览器中,referer 看起来像 http://url/context-root/
本地环境和生产环境的区别在于,代理拦截请求并进行一些上下文重写并打开 https 隧道。服务器实际使用 http,然后代理通过隧道传输请求。
有人知道问题出在哪里吗?
这是我注册 http 拦截器的 Angular 模块:
'use strict';
(function () {
angular.module('csrf-token-interceptor', [])
.config(function ($httpProvider) {
var csrfToken = { headerName: 'X-CSRF-TOKEN', token: null };
var getCsrfToken = function () {
var xhr = new XMLHttpRequest();
xhr.open('head', '/context-root/index.html?id=' + new Date().toString(), false);
xhr.send();
return { headerName: 'X-CSRF-TOKEN', token: xhr.getResponseHeader('X-CSRF-TOKEN') };
};
var numRetries = 0;
var MAX_RETRIES = 1;
$httpProvider.interceptors.push(function ($q, $injector) {
return {
request: function (config) {
config.headers[csrfToken.headerName] = csrfToken.token;
return config || $q.when(config);
},
responseError: function (response) {
if (response.status === 403 && numRetries < MAX_RETRIES) {
csrfToken = getCsrfToken();
var $http = $injector.get('$http');
++numRetries;
return $http(response.config);
}
return $q.reject(response);
},
response: function(response) {
numRetries = 0;
var newToken = response.headers(csrfToken.headerName);
if (newToken !== null) {
csrfToken.token = newToken;
}
return response;
}
};
});
});
})();
请求如下:
最佳答案
这可能是 IE 中与您使用 HEAD
方法有关的错误;见https://connect.microsoft.com/IE/feedback/details/1023203/xhr-readystate-done-delay-on-head-request
您是否使用 Fiddler 等代理观察过您的网络流量?如果是这样,您可以分享流量捕获吗?
关于javascript - IE 10 等待 XMLHttpRequest 等待 6 分钟然后响应请求(使用 AngularJS 的 CRSF 实现),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29035667/
Java 8 - spring 4.3.x 在配置 spring security 并启用 csrf 功能时,我遇到了 CsrfTokenRepository 的两种实现,一种是 Lazy 的,另一种
技术范围:PHP、MySQL、Apache、javascript、ajax。 CRSF 用户已登录到他的安全页面。 页面使用随机标记和随机名称。 (用于输入) Random_name 和 Ra
我遵循了文档和另一篇支持文章,但我仍然陷入困境。我希望能够使用 x-editable 编辑字段。 我使用了他们在 here 上所说的内容 我在 View 文件中有 CSRF 元标记 我收到错误; Un
我正在使用以下脚本对登录 LinkedIn 进行身份验证,然后使用 Beautiful Soup 抓取 HTML。 登录验证没有问题(我看到我的帐户信息)但是当我尝试加载页面时我收到“fs.confi
在使用 ExpressJS 的 Node 应用程序中,我们启用了 CRSF 中间件。这很好用,但是我们有一些以/api 开头并接受 POST 请求的路由失败(禁止),因为当然没有 CRSF token
考虑一个使用 HTTPS 协议(protocol)的网站。 使用 HTTPS 时,协议(protocol)是否使用证书来识别客户端? 如果某些黑客在进行CSRF后加密了cookie,他是否还需要有SS
我正在阅读来自 Spring.io sight 的 Spring Boot 和 Angular 文章。登录页面部分,添加注销部分。我在配置 CRSF 时遇到问题。他们这样写 The last choi
注意:我正在上网络安全类(class),我们一直在学习 CSRF 和 XSS。我们类的项目网站故意容易受到 crsf 和 xss 的攻击。我有一个恶意 html 页面,其表单在加载时提交。您可以看到脚
因此,我正在构建一个简单的 AJAX 应用程序,该应用程序从我的播放列表中获取 YouTube 视频的缩略图,该应用程序在 JavaScript 中使用如下请求: GET https://www.go
任务描述 我为我的 Angular 应用程序实现了 CRSF 保护。服务器检查 crsf token 是否位于请求的 header “X-CSRF-TOKEN”中。如果不是,它会发送一个 HTTP 响
我是一名优秀的程序员,十分优秀!