gpt4 book ai didi

javascript - HttpClientXsrfModule 是否仍然需要在服务器上设置 XSRF-TOKEN?

转载 作者:行者123 更新时间:2023-11-30 09:12:39 30 4
gpt4 key购买 nike

为了防止客户端app.module中的XSRF/CSRF,是否只需编写以下代码就足够了?

HttpClientXsrfModule.withOptions({
cookieName: 'XSRF-TOKEN',
headerName: 'X-XSRF-TOKEN'
})

或者是否仍然需要服务器(Express/NestJS)上的一些额外逻辑?

最佳答案

您的服务器需要实现 csrf token 。然后客户端将 token 发回,以便可以在您的服务器上进行检查。有关详细信息,请参阅 understanding csrf tokens .


要为您的 nestjs 应用程序添加 csrf 支持,您可以使用 csurf中间件,参见 nest security docs :

首先安装csurf:

$ npm i --save csurf

然后在你的main.ts中添加中间件

import * as csurf from 'csurf';
app.use(csurf());

关于javascript - HttpClientXsrfModule 是否仍然需要在服务器上设置 XSRF-TOKEN?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57391940/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com