根據(jù)eggjs的官方文檔:
在 CSRF 默認配置下�,token 會被設置在 Cookie 中�����,在 AJAX 請求的時候����,可以從 Cookie 中取到 token�,放置到 query、body 或者 header 中發(fā)送給服務端�����。In jQuery:
var csrftoken = Cookies.get('csrfToken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader('x-csrf-token', csrftoken);
}
},
});
restful并且跨域的情況下,請求的頁面文件并不會經(jīng)過eggjs服務器,因此也不會在cookie中種上csrf token,當首次請求為post(例如登陸),此時客戶端cookie中還沒有csrf token因此請求肯定會失敗,再次發(fā)起請求后才能讀取到cookie中的csrf token,怎么解決這個問題?
補充:基于token驗證的restful是不是沒有csrf風險了?
