无法读取Angular JS 1.5.5中的XSRF-TOKEN cookie
为了保护应用免受CSRF攻击,我们从服务器端设置了一个名为XSRF-TOKEN的cookie。因此,从客户端代码,我们能够设置cookie和发送到服务器,但要验证CSRF在服务器端,我们需要发送头,同时发射'POST'服务调用。由于每个角文档自动$超文本传输协议通过读取cookie设置标题X-XSRF-TOKEN(请参考链接),但是Javascript代码无法读取cookie,尽管我们已经在同一域上部署了应用程序。服务器端cookie生成代码和服务部署详情如下,
final Cookie newCookie = new Cookie(
"XSRF-TOKEN",
csrfValue);
newCookie.setPath("/");
httpResponse.addCookie(newCookie);
UI部署在8080端口,服务部署在同一VM内的8084端口
共有1个答案
端口8080和8084是不同的来源,因此您不能从一个端口读取另一个端口的cookies,就像您不能访问在您的端口上运行的javascript中的任何其他网站的cookies一样。
服务如何对用户进行身份验证?如果它是基于令牌的,并且令牌作为请求头发送,那么您甚至不需要进一步的csrf保护。
-
我试图通过一个到Spring(基本身份验证)安全RESTAPI的绝对URL发出POST请求 读到Angular没有为绝对URL自动将X-XSRF-TOKEN插入请求头之后,我尝试实现一个HttpInterceptor来添加TOKEN。 在我最初的 /signinPOST请求中,我创建了必要的授权:基本标头,以确保Spring验证请求。 返回的响应标头包含预期的set-cookie令牌: 但是,在我
-
问题内容: 我已经编写了一个程序来加密Netbeans中的图像。从Netbeans运行时,该程序运行良好,但是当我将其构建为.jar文件时,即使我将图像文件与.jar文件放在同一文件夹中,它也无法读取图像。 //加密 //加载/写入图片 问题答案: 目前尚不清楚以下哪个触发您的错误。这个 将从当前目录读取,该目录不一定与您的jar文件所在的目录相同。 这个 将从类所在的jar文件中的目录中读取。请
-
我试图在Springboot应用程序中使用logback-spring.xml创建日志记录功能,但是无法读取logback-spring.xml文件中的属性值(例如:log.dest.path)。 我通过@PropertySource基于概要文件动态加载不同环境(开发、阶段、生产)的属性文件(YAML)。概要分析工作正常,并且加载了正确的YAML文件(例如:- application.dev.ym
-
问题内容: 我已经编写了一个程序来加密Netbeans中的图像。从Netbeans运行时,该程序运行良好,但是当我将其构建为.jar文件时 ,即使我将图像文件与.jar文件放在同一文件夹中,它也无法读取图像。 //encryption //loading/writing image 问题答案: 目前尚不清楚以下哪个触发您的错误。这个 将从当前目录读取,该目录不一定与您的jar文件所在的目录相同。
-
我已经按照下面的链接使用spring的Swagger为我的REST服务创建API文档。 http://jakubstas.com/spring-jersey-swagger-configuration/#comment-1726 一切都很顺利,但当我试图使用url http://localhost:8080/rest/api-docs访问swagger的api文档时,我发现无法读取swagger