XSRF-TOKEN защищен с помощью HttpOnly в AngularJS + Spring Boot, но не включен в запросы назад - PullRequest
Новая
       3

XSRF-TOKEN защищен с помощью HttpOnly в AngularJS + Spring Boot, но не включен в запросы назад

0 голосов
/ 05 июня 2018

Установка cookie-файла XSRF-TOKEN с помощью HttpOnly создает проблему для Angular Framework при получении его из функции document.cookie.

Есть ли способ обойти это?Я не могу сделать XSRF-TOKEN не Http. Только я подумал, что, возможно, я могу перехватить каждый входящий запрос на среднем уровне (Spring Boot), проверить с помощью файлов cookie, и если это запрос POST / PUT / DELETE, и он имеет XSRF-TOKEN, ядобавит заголовок X-XSRF-TOKEN?

1 Ответ

0 голосов
/ 30 октября 2018

AngularJS обращается к cookie-файлам таким образом, как «document.cookies ...», то есть через сам javascript, и в этом случае HttpOnly просто не будет работать.Вы должны независимо от этого переводить Spring cookie на то, что ожидает и понимает angular ('XSRF-TOKEN').Это можно сделать с помощью фильтра, подобного следующему: 

public class CsrfHeaderFilter extends OncePerRequestFilter {

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
    if (csrf != null) {
        Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
        String token = csrf.getToken();
        if (cookie == null || token != null && !token.equals(cookie.getValue())) {
            cookie = new Cookie("XSRF-TOKEN", token);
            cookie.setSecure(true);
            cookie.setPath(request.getContextPath() + "/");
            response.addCookie(cookie);
        }
    }
    filterChain.doFilter(request, response);
}

}

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...