用自定义的 X-header 传输 token 好了,不用 cookie session。
确实是一个容易忽视的问题,没有添加 csrf_token 校验逻辑
前后端分离的项目,用 cookie 维护 seesion 要留意 CSRF 的问题,跨项目的安全问题容易被忽略……
用自定义的 X-header 传输 token 好了,不用 cookie session。
确实是一个容易忽视的问题,没有添加 csrf_token 校验逻辑
前后端分离的项目,用 cookie 维护 seesion 要留意 CSRF 的问题,跨项目的安全问题容易被忽略……