前后分离用egg出 missing csrf token
发布于 6 年前 作者 liuboo456 4576 次浏览 来自 问答

做前后分离。CSRF 可以将csrfToken放到cookie下通过js获取 这样不还是会出现CSRF风险吗 image.png egg也提供了一个方式。将csrfToken放到session里面。 但是这样前后分离岂不是获取不了csrfToken 找不到更好的办法。。只能先关闭CSRF验证了。。

1 回复

如果你前端页面的入口不是 Egg 托管的,那就属于第三方访问,Egg 只做 API Server,这种场景下,本来就不应该用 csrf

回到顶部