хорошо Когда вы изучаете безопасность веб-приложений, вы столкнетесь с перекрестными связями с запросами (CSRF). Этот вектор атаки использует куки-файлы, но предотвращается.
Большинство атак сосредоточены на краже ваших файлов cookie, потому что почти на каждом веб-сайте используются куки-файлы как форма проверки подлинности. Настройка такова: когда пользователь входит в ваш сервер, вы устанавливаете файл cookie в браузере. Этот файл cookie содержит уникальный идентификатор, который является ссылкой на информацию о сеансе пользователя в вашей базе данных. Браузер предоставляет этот файл cookie для будущих запросов, и сервер знает, кто вы.
На первый взгляд это звучит не так-плохо, но вот улов: веб-браузер можно обмануть в запросы на ваш сервер, даже если конечный пользователь сам не выполнил действие.
Использование POST запросов
Иногда думают, что с помощью правильных запросов POST формы на основе ослабит эту атаку, но это не так.
Использование HTTP-Only или Secure печенье
Хотя вы определенно должны использовать эти флаги на вашей куки сессии, они не неявно остановить атаку: браузер по-прежнему посылает куки на ваш домен, когда запрос делается в вашем домене. Ваш сервер не знает, действительно ли это настоящий пользователь или атака.
Как предотвратить CSRF
Вы можете добиться этого, опираясь на набор правил, браузеры уважения, называют Same-Origin Policy. Эта политика утверждает, что некоторые чувствительные операции выполняются кодом JavaScript, который выполняется на нашем веб-сайте, а не на каком-либо другом веб-сайте.
Угловые пакеты используют токен CSRF, что упрощает реализацию. Для каждого запроса, сделанного вашим угловым приложением на вашем сервере, услуга Angular $ http будет делать это автоматически:
Ищите куки-файл с именем XSRF-TOKEN в текущем домене. Если этот файл cookie найден, он считывает значение и добавляет его в запрос как заголовок X-XSRF-TOKEN.
Таким образом, реализация на стороне клиента обрабатывается для вас автоматически! Но это оставляет части стороны сервера в ваших руках. Вам нужно будет сделать следующие части:
Во время входа в систему: создайте токен CSRF (со случайной, недопустимой строкой) и свяжите его с пользовательским сеансом.Вам нужно будет отправить его в ответ на вход в качестве файла cookie XSRF-TOKEN. Убедитесь, что все входящие запросы в ваш API имеют заголовок X-XSRF-TOKEN, а значение заголовка - токен, связанный с сеансом пользователя.
Вот и все! С небольшим количеством бэкэнд-работы у вас теперь есть стратегия, которая защищает вас от атак CSRF.
вы найдете рабочий пример того, как предотвратить CSRF нападения here и теорию атак CSRF понимания пожалуйста проследуйте reference
Поиск «ионный рамочный AUTH» дали https://devdactic.com/user- auth-angularjs-ionic/ –