Angularjs $http服务的两个request安全问题

本文深入探讨了Hybrid应用和RESTful后端服务中安全认证的问题,重点讲解了XSRF(跨站请求伪造)和CORS(跨域HTTP请求)的访问凭证机制。对于XSRF问题,通过在Cookie中存储Token并在POST请求中传递来确保横向安全性。同时,针对CORS访问控制问题,概述了当前Ajax标准下实现跨域请求的方法及注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      今天为了hybrid app和后端restful服务的安全认证问题,又翻了一下$http的文档,$http服务文档页面两个安全问题是json和XSRF,JSON那个比较好理解,就不补充什么了,说说XSRF和CORS(跨域HTTP请求)的访问凭证问题

      1、XSRF问题又叫CSRF问题跨站请求伪造,一般来讲实在cookie放一个Token,当提交post请求时取出token,把Token放到post的请求data或者header里面,一般Ajax请求会放在header里面,这样比较容易横向设置,这个token传到后端,再由后端取出来和后端session里面的数据做对比验证。因为Angularjs的$http发送请求,其数据都是传object或者自己组object,不像jquery,直接取整个form的所有数据,而像有些框架的CSRF Token,hacking直接绑定model好像不太nice,所以设置XSRF Cookie Name的方式,$http会自己直接从Cookie里面去取这个token,放到header里面,这样就不用每次发送post请求时,自己去想法设法拿那个值了。

      2、跨域HTTP请求(CORS)的访问控制问题,目前的Ajax XMLHTTPRequest标准已经允许一定条件下的跨域请求,hybrid的页面等资源都在apk里面,所以其数据请求肯定是跨域的,这个问题我说起来有点话长,我就不详述了,AngularJS文档给了个链接:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS#Requests_with_credentials ,目前一些比较激进的HTML5或者JS书籍里面也有跨域请求的介绍,比如《HTML5程序设计

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值