Угловой 2 - Имеет смысл использовать токен csrf в Angular 2?

Question

Я задаю этот вопрос, потому что в клиентском серверном приложении сервер отправляет html с другим токеном, скрытым в форме для каждого запроса. Этот токен построен на сервере с помощью секретного ключа.

Но Угловые 2 все формы уже находятся на клиенте. Для формы есть токен, в котором ему нужен секретный ключ, в клиенте, и для меня это уже одно нарушение безопасности.

Так что я задаю вопрос, имеет ли смысл использовать токен csrf в Angular 2? Если да, то как это можно сделать?

Answer 1

Угловая 2 включает в себя стратегию смягчения CSRF/XSRF, известную как double-submit cookie pattern. От Angular documentation,

Угловой клиент http имеет встроенную поддержку этой техники. По умолчанию CookieXSRFStrategy ищет файл cookie под названием XSRF-TOKEN и устанавливает заголовок HTTP-запроса с именем X-XSRF-TOKEN со значением этого файла cookie при каждом запросе. Сервер должен установить cookie XSRF-TOKEN и проверить заголовок ответа для каждого запроса на изменение состояния.

Итак, если вы используете услугу http, вам не нужно делать что-либо дополнительное на угловой стороне, чтобы получить защиту CSRF. Серверу необходимо проверить, что значения заголовка и файла cookie идентичны.