ionic-framework - 具有多租户和多域 JHipster 后端的 Ionic 中的 CSRF
问题描述
我有一个 JHipster 多租户后端,tenant[.env].domain.ltd
其中包含启用了 csrf 之类的域。我们正在使用 Ionic 制作一个移动应用程序,该应用程序可以在多个租户上存储身份验证。在这个移动应用程序中,我们设置了<preference name="Hostname" value="domain.ltd" />
.
如何处理 csrf 令牌?
后端向移动应用程序发送一个客户端无法访问的XSRF-TOKEN
cookie,.tenant[.env].domain.ltd
因为域不匹配,因此客户端无法在请求的标头中设置给定的令牌。
我们应该为移动应用禁用 csrf 吗?这样做的最佳方法是什么?如果它是唯一的解决方案,我们应该过滤哪个值以禁用 csrf?
解决方案
好的,我终于设法让它工作了。在 xsrf 令牌 cookie 生成时,我只是测试请求是否来自移动应用程序。如果是这样,我将 cookie 域设置为.domain.ltd
. 我不确定的唯一一点是我应该确定它是移动请求的方式。我实际上使用Origin
标题。
推荐阅读
- javascript - 设置有效期20分钟
- php - 教义 - 如何查看在刷新时会运行哪些查询
- c - 如果(条件)从链表中删除一个节点
- javascript - JavaScript/jQuery 如何选择所有动态创建的音频元素?
- python-3.x - 使用列和索引标签填充 pandas DataFrame
- html - 基于 css 选择器的 DOM 树表示
- angular - 在 nrwl 工作区中用玩笑解决路径不正确
- session - 更改 Magento 2 客户会话超时 URL
- ios - 如何从 UICollectionViewController 中的 scrollViewDidScroll 方法访问单元格成员(用于动画)?
- python-3.x - 无法在 HTML 页面中找到元素