我正在研究AngularJS应用程序上的漏洞。我的应用程序中存在“跨站点请求伪造”漏洞。
我已将XSRF-TOKEN放入cookie中
内部app.js模块:
$http(req).then(function(result) {
$cookieStore.put('XSRF-TOKEN', result.data.session);
}, function(error) {
console.log(error);
}
);
...
...
if ($cookieStore.get('XSRF-TOKEN') == null || $cookieStore.get('XSRF-TOKEN') == "") {
rejection.status = 403;
}
该漏洞没有解决。我关注了这篇文章:https://stackoverflow.com/a/22498311/8337391。但是问题仍然存在。如果有人可以提供一些有用的提示,将会很有帮助。
[查看代码,看起来您只是在检查XSRF值,这与您对XSRF令牌的处理不一样-您需要为令牌生成随机值,然后在每次访问时检查其值。另外,什么工具表明存在XSRF问题?