对所有字符串进行往返转义&用于服务器端通信的XSRF保护
Round-trip escaping on all strings & XSRF protection for server-side communication
我在https://docs.angularjs.org/misc/faq上阅读angularjs的FAQ文章
在AngularJS的安全漏洞部分,我找到了下面的语句
"AngularJS为你对所有字符串进行往返转义,甚至为服务器端通信提供XSRF保护。"
但是我不能领会它的意思。我试过谷歌,但没有适当的描述是可用的。
谁能举个例子解释一下上面的说法,让大家更清楚地理解它?
我不确定往返转义部分,但你可以从他们的网站https://docs.angularjs.org/api/ng/service/$http上阅读更多关于AngularJS的XSRF攻击安全的信息…这里写着:
XSRF是一种技术,未经授权的站点可以通过该技术获取用户的私有数据。Angular提供了一种对抗XSRF的机制。当执行XHR请求时,$http服务从cookie(默认情况下是XSRF-TOKEN)读取令牌,并将其设置为http标头(X-XSRF-TOKEN)。因为只有在您的域中运行的JavaScript才能读取cookie,所以您的服务器可以确信XHR来自在您的域中运行的JavaScript。对于跨域请求,不设置报头。希望它能帮助我,并给我的第一个点:)
相关文章:
- 用于显示服务器端验证结果的 Jqgrid 编辑事件
- 用于处理QRCode生成服务器端并存储在数据库中的库
- 用于服务器端处理的数据表,包括分页、筛选和搜索
- 有哪些技术可用于 RIA 开发的客户端和服务器端调试
- JavaScript 框架,用于构建动态但服务器端驱动的前端
- Jasmine + Node.js用于服务器端单元测试.如何运行测试
- 角度:条件字段不适用于服务器端
- 用于处理订单的客户端脚本与服务器端脚本
- AWS 服务器端临时凭证是否可用于客户端 S3 上传
- 异步请求如何用于服务器端验证
- 用于处理服务器端事件的PHP服务器导致Apache连接过多
- 在ES6中导入用于服务器端渲染的组件
- 加载~ 400(错误请求).XmlHttpRequest适用于本地,但不适用于服务器端
- 用于可拖动页面元素的css框架和用于服务器端位置保存的回调
- 如何在服务器端呈现iframe内部内容,用于SEO
- ajax函数,用于从2个服务器端脚本向2个DOM目标返回值
- 哪种服务器端技术用于小型企业网站
- 用于导出到CSV/Excel的数据URI(无服务器端请求):浏览器支持/限制
- 服务器端用于基于dojo的+Qt5应用程序
- 对所有字符串进行往返转义&用于服务器端通信的XSRF保护