Aprenda a implementar la protección CSRF en sus aplicaciones Angular mediante cookies, encabezados, servicio HttpClient y control de errores.

Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

¿Cómo se implementa la protección CSRF en aplicaciones angulares?

Con tecnología de la IA y la comunidad de LinkedIn

CSRF, o falsificación de solicitudes entre sitios, es un tipo de ataque web que explota la confianza entre un usuario y un servidor. Ocurre cuando un sitio web o script malicioso envía una solicitud a un servidor en nombre de un usuario, sin su consentimiento o conocimiento. Por ejemplo, un hacker podría engañar a un usuario para que haga clic en un enlace que transfiere dinero de su cuenta bancaria a la cuenta del hacker, utilizando las cookies de autenticación del usuario.

Para evitar ataques CSRF, las aplicaciones web deben implementar algún tipo de mecanismo de protección que verifique el origen y la integridad de las solicitudes. Un método común es usar un token CSRF, que es un valor aleatorio y único generado por el servidor y adjunto a cada solicitud. A continuación, el servidor comprueba si el token coincide con el almacenado en la sesión o cookie, y rechaza cualquier solicitud que no tenga un token válido.

Angular es un marco popular para crear aplicaciones web que usan TypeScript, HTML y CSS. Angular tiene soporte incorporado para la protección CSRF, que funciona de la siguiente manera:

Expertos destacados en este artículo

Elección de la comunidad a partir de 8 contribuciones. Más información

1 Habilitar cookies HTTP

Angular utiliza cookies HTTP para almacenar el token CSRF y enviarlo con cada solicitud. Para habilitar esta característica, debe importar HttpClientModule desde @angular/common/http y agregarlo a la matriz imports de AppModule. Esto configurará automáticamente el servicio HttpClient para usar la interfaz XSRFStrategy, que controla los nombres de cookie y encabezado para el token.

Añade tu opinión

Swapnil Dixit 🇮🇳

Data Analyst | SEO Specialist | Solving Complex Ranking Challenges | 400+ Keywords Ranked | Technical SEO |SERP Ranking | SaaS & Ecommerce SEO | Core Web Vital Optimization | GreyHat SEO | SEO Reporting
(editado)
Denunciar la contribución
Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

Traducido

Recomendar
Sudhakar Kandala

CEO at MODWEBS DIGITAL
Denunciar la contribución
Angular uses HTTP cookies to store the CSRF token and send it with each request. To enable this feature, you need to import the HttpClientModule from @angular/common/http and add it to the imports array of your AppModule. This will automatically configure the HttpClient service to use the XSRFStrategy interface, which handles the cookie and header names for the token.

Traducido

Recomendar
Hitesh Allam

Software Engineer at Verizon
Denunciar la contribución
To set up CSRF protection in an Angular app, first, ensure your server generates a CSRF token, sets it as a cookie (XSRF-TOKEN), and validates it on requests. In Angular, import HttpClientModule in your AppModule to handle CSRF tokens automatically. HttpClient will use the XSRF-TOKEN cookie to include the CSRF token in the X-XSRF-TOKEN header for requests. If needed, you can customize this behavior, but the default setup is usually sufficient. Verify that the token is correctly set in cookies and included in request headers, and ensure your server is properly validating it.

Traducido

Recomendar
REJI MODIYIL

Founder @Hostao L.L.C (.in accredited registrar), @AutoChat (Meta-Badged Partner) & @RatingE | SaaS, Web Hosting & WhatsApp Automation Expert | Empowering Businesses Globally
Denunciar la contribución
Ensure your backend sets the XSRF-TOKEN cookie with the appropriate value during authentication or login. If you're using a different library or custom logic for CSRF protection, the process might differ. For detailed guidance, refer to the official Angular documentation: [[invalid URL removed]]([invalid URL removed])

Traducido

Recomendar

2 Establecer nombres de cookies y encabezados

De forma predeterminada, Angular espera que el servidor envíe el token CSRF en una cookie denominada XSRF-TOKEN y que lo reciba de vuelta en un encabezado denominado X-XSRF-TOKEN. Sin embargo, puede personalizar estos nombres si el servidor utiliza convenciones diferentes. Para ello, debe proporcionar una implementación personalizada del servicio HttpXsrfTokenExtractor, que extrae el token de la cookie, y el servicio HttpXsrfTokenService, que genera y almacena el token. A continuación, puede usar los proveedores useClass o useFactory para invalidar los servicios predeterminados en AppModule.

Añade tu opinión

Nishita Doval

Full-Stack Developer | Angular, React, PHP, Python & JavaScript | Freelancer | Open to Work in Canada
Denunciar la contribución
If you wish to use a different cookie and header name, HttpClientXsrfModule has a method called withOptions. The usage looks like this: imports: [ HttpClientModule, HttpClientXsrfModule.withOptions({ cookieName: 'your-custom-Xsrf-Cookie', headerName: 'your-custom-Xsrf-Header' }) ] HttpClientXsrfModule implements its default HttpXsrfInterceptor as its interceptor. An interceptor is a service that transforms an outgoing HTTP request. You can also disable the CSRF protection using HttpClientXsrfModule.disable().

Traducido

Recomendar
Hitesh Allam

Software Engineer at Verizon
Denunciar la contribución
To set up CSRF protection in your Angular app, you need to match Angular's expectations with your server's conventions. By default, Angular looks for a CSRF token in a cookie named XSRF-TOKEN and sends it back in a header named X-XSRF-TOKEN. If your server uses different names, you can customize this. First, create a custom service to extract the CSRF token from the cookie and another service if you need to handle tokens differently. Then, override the default Angular services in your AppModule to use your custom ones. This way, Angular will fetch and send the CSRF token according to your server's setup, ensuring secure communication between your app and backend.

Traducido

Recomendar
Ankit Kaushik

React | Angular | Next.js | Frontend Tech Lead | Certified Professional
Denunciar la contribución
Backend service must be configured to set the cookie for your page, and to verify that the header is present on all eligible requests. When performing HTTP requests, the HttpClient interceptor reads a token from a cookie, by default XSRF-TOKEN, and sets it as an HTTP header, X-XSRF-TOKEN, although customising these defaults is also possible with the help of HttpClientXsrfModule.withOptions(). Because only code that runs on your domain could read the cookie, the backend can be certain that the HTTP request came from your client application and not an attacker.

Traducido

Recomendar

3 Enviar solicitudes con HttpClient

Para enviar solicitudes con el token CSRF, debe usar el servicio HttpClient, que se inyecta como una dependencia en sus componentes o servicios. El servicio HttpClient lee automáticamente el token de la cookie y lo agrega al encabezado de cada solicitud, siempre que la solicitud se envíe al mismo dominio que la aplicación. Puede usar los diversos métodos del servicio HttpClient, como get, post, put o delete, para enviar solicitudes con diferentes verbos y opciones HTTP.

Añade tu opinión

Hitesh Allam

Software Engineer at Verizon
Denunciar la contribución
To protect your Angular app from CSRF attacks, you first need your backend to generate and validate CSRF tokens. When a user accesses your app, the server should send a CSRF token as a cookie. Angular’s HttpClient service handles tokens automatically if the app and server are on the same domain. Just make sure to include cookies with requests by setting withCredentials to true in your HttpClient calls. If you need to manually handle tokens, you can extract them from cookies and include them in request headers. Additionally, configure your cookies with the SameSite and Secure attributes to enhance security. Lastly, test your setup thoroughly to ensure the CSRF protection is working as expected.

Traducido

Recomendar

4 Controlar errores y excepciones

A veces, el servidor puede rechazar una solicitud con un token CSRF si el token ha caducado, no es válido o falta. En este caso, el servidor normalmente responderá con un código de estado 403 Prohibido, lo que indica que el usuario no está autorizado para realizar la acción. Para controlar este escenario, debe detectar el error y controlarlo adecuadamente, por ejemplo, redirigiendo al usuario a una página de inicio de sesión, mostrando un mensaje de error o actualizando el token. Puedes usar el operador catchError de RxJS para interceptar y controlar errores del servicio HttpClient.

Siguiendo estos pasos, puede implementar la protección CSRF en sus aplicaciones Angular y evitar solicitudes no autorizadas de orígenes malintencionados. Esto mejorará la seguridad y confiabilidad de sus aplicaciones web y protegerá los datos y acciones de sus usuarios.

Añade tu opinión

5 Esto es lo que más debe considerar

Este es un espacio para compartir ejemplos, historias o ideas que no encajan en ninguna de las secciones anteriores. ¿Qué más le gustaría añadir?

Añade tu opinión

Tecnologías web

Seguir

Valorar este artículo

Hemos creado este artículo con la ayuda de la inteligencia artificial. ¿Qué te ha parecido?

Está genial Está regular

Denunciar este artículo

Ver todo

¿Cómo se implementa la protección CSRF en aplicaciones angulares?

1

2

3

4

5

1 Habilitar cookies HTTP

2 Establecer nombres de cookies y encabezados

3 Enviar solicitudes con HttpClient

4 Controlar errores y excepciones

5 Esto es lo que más debe considerar

Tecnologías web

Valorar este artículo

Gracias por tus comentarios

Más artículos sobre Tecnologías web

Lecturas más relevantes