Saiba como implementar a proteção CSRF em seus aplicativos Angular usando cookies, cabeçalhos, serviço HttpClient e tratamento de erros.

Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

Como implementar a proteção CSRF em aplicativos Angular?

Alimentado por IA e pela comunidade do LinkedIn

CSRF, ou falsificação de solicitação entre sites, é um tipo de ataque da Web que explora a confiança entre um usuário e um servidor. Ocorre quando um site ou script malicioso envia uma solicitação a um servidor em nome de um usuário, sem seu consentimento ou conhecimento. Por exemplo, um hacker pode enganar um usuário para que ele clique em um link que transfere dinheiro de sua conta bancária para a conta do hacker, usando os cookies de autenticação do usuário.

Para evitar ataques CSRF, os aplicativos Web precisam implementar alguma forma de mecanismo de proteção que verifique a origem e a integridade das solicitações. Um método comum é usar um token CSRF, que é um valor aleatório e exclusivo que é gerado pelo servidor e anexado a cada solicitação. Em seguida, o servidor verifica se o token corresponde ao armazenado na sessão ou no cookie e rejeita qualquer solicitação que não tenha um token válido.

Angular é uma estrutura popular para a criação de aplicativos Web que usam TypeScript, HTML e CSS. O Angular tem suporte integrado para proteção CSRF, que funciona da seguinte maneira:

Principais especialistas neste artigo

Selecionados pela comunidade a partir de 8 contribuições. Saiba mais

1 Ativar cookies HTTP

O Angular usa cookies HTTP para armazenar o token CSRF e enviá-lo com cada solicitação. Para habilitar esse recurso, você precisa importar o HttpClientModule de @angular/common/http e adicioná-lo à matriz de importações do seu AppModule. Isso configurará automaticamente o serviço HttpClient para usar a interface XSRFStrategy, que manipula os nomes de cookie e cabeçalho para o token.

Adicione sua opinião

Swapnil Dixit 🇮🇳

Data Analyst | SEO Specialist | Solving Complex Ranking Challenges | 400+ Keywords Ranked | Technical SEO |SERP Ranking | SaaS & Ecommerce SEO | Core Web Vital Optimization | GreyHat SEO | SEO Reporting
(editado)
Denunciar contribuição
Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

Traduzido

Gostei
Sudhakar Kandala

CEO at MODWEBS DIGITAL
Denunciar contribuição
Angular uses HTTP cookies to store the CSRF token and send it with each request. To enable this feature, you need to import the HttpClientModule from @angular/common/http and add it to the imports array of your AppModule. This will automatically configure the HttpClient service to use the XSRFStrategy interface, which handles the cookie and header names for the token.

Traduzido

Gostei
Hitesh Allam

Software Engineer at Verizon
Denunciar contribuição
To set up CSRF protection in an Angular app, first, ensure your server generates a CSRF token, sets it as a cookie (XSRF-TOKEN), and validates it on requests. In Angular, import HttpClientModule in your AppModule to handle CSRF tokens automatically. HttpClient will use the XSRF-TOKEN cookie to include the CSRF token in the X-XSRF-TOKEN header for requests. If needed, you can customize this behavior, but the default setup is usually sufficient. Verify that the token is correctly set in cookies and included in request headers, and ensure your server is properly validating it.

Traduzido

Gostei
REJI MODIYIL

Founder @Hostao L.L.C (.in accredited registrar), @AutoChat (Meta-Badged Partner) & @RatingE | SaaS, Web Hosting & WhatsApp Automation Expert | Empowering Businesses Globally
Denunciar contribuição
Ensure your backend sets the XSRF-TOKEN cookie with the appropriate value during authentication or login. If you're using a different library or custom logic for CSRF protection, the process might differ. For detailed guidance, refer to the official Angular documentation: [[invalid URL removed]]([invalid URL removed])

Traduzido

Gostei

2 Definir nomes de cookies e cabeçalhos

Por padrão, o Angular espera que o servidor envie o token CSRF em um cookie chamado XSRF-TOKEN e o receba de volta em um cabeçalho chamado X-XSRF-TOKEN. No entanto, você pode personalizar esses nomes se o servidor usar convenções diferentes. Para fazer isso, você precisa fornecer uma implementação personalizada do serviço HttpXsrfTokenExtractor, que extrai o token do cookie, e do serviço HttpXsrfTokenService, que gera e armazena o token. Em seguida, você pode usar os provedores useClass ou useFactory para substituir os serviços padrão em seu AppModule.

Adicione sua opinião

Nishita Doval

Full-Stack Developer | Angular, React, PHP, Python & JavaScript | Freelancer | Open to Work in Canada
Denunciar contribuição
If you wish to use a different cookie and header name, HttpClientXsrfModule has a method called withOptions. The usage looks like this: imports: [ HttpClientModule, HttpClientXsrfModule.withOptions({ cookieName: 'your-custom-Xsrf-Cookie', headerName: 'your-custom-Xsrf-Header' }) ] HttpClientXsrfModule implements its default HttpXsrfInterceptor as its interceptor. An interceptor is a service that transforms an outgoing HTTP request. You can also disable the CSRF protection using HttpClientXsrfModule.disable().

Traduzido

Gostei
Hitesh Allam

Software Engineer at Verizon
Denunciar contribuição
To set up CSRF protection in your Angular app, you need to match Angular's expectations with your server's conventions. By default, Angular looks for a CSRF token in a cookie named XSRF-TOKEN and sends it back in a header named X-XSRF-TOKEN. If your server uses different names, you can customize this. First, create a custom service to extract the CSRF token from the cookie and another service if you need to handle tokens differently. Then, override the default Angular services in your AppModule to use your custom ones. This way, Angular will fetch and send the CSRF token according to your server's setup, ensuring secure communication between your app and backend.

Traduzido

Gostei
Ankit Kaushik

React | Angular | Next.js | Frontend Tech Lead | Certified Professional
Denunciar contribuição
Backend service must be configured to set the cookie for your page, and to verify that the header is present on all eligible requests. When performing HTTP requests, the HttpClient interceptor reads a token from a cookie, by default XSRF-TOKEN, and sets it as an HTTP header, X-XSRF-TOKEN, although customising these defaults is also possible with the help of HttpClientXsrfModule.withOptions(). Because only code that runs on your domain could read the cookie, the backend can be certain that the HTTP request came from your client application and not an attacker.

Traduzido

Gostei

3 Enviar solicitações com HttpClient

Para enviar solicitações com o token CSRF, você precisa usar o serviço HttpClient, que é injetado como uma dependência em seus componentes ou serviços. O serviço HttpClient lê automaticamente o token do cookie e o adiciona ao cabeçalho de cada solicitação, desde que a solicitação seja enviada para o mesmo domínio do aplicativo. Você pode usar os vários métodos do serviço HttpClient, como get, post, put ou delete, para enviar solicitações com diferentes verbos e opções HTTP.

Adicione sua opinião

Hitesh Allam

Software Engineer at Verizon
Denunciar contribuição
To protect your Angular app from CSRF attacks, you first need your backend to generate and validate CSRF tokens. When a user accesses your app, the server should send a CSRF token as a cookie. Angular’s HttpClient service handles tokens automatically if the app and server are on the same domain. Just make sure to include cookies with requests by setting withCredentials to true in your HttpClient calls. If you need to manually handle tokens, you can extract them from cookies and include them in request headers. Additionally, configure your cookies with the SameSite and Secure attributes to enhance security. Lastly, test your setup thoroughly to ensure the CSRF protection is working as expected.

Traduzido

Gostei

4 Lidar com erros e exceções

Às vezes, o servidor pode rejeitar uma solicitação com um token CSRF se o token estiver expirado, inválido ou ausente. Nesse caso, o servidor normalmente responderá com um código de status 403 Proibido, indicando que o usuário não está autorizado a executar a ação. Para lidar com esse cenário, você precisa capturar o erro e manipulá-lo adequadamente, como redirecionando o usuário para uma página de logon, exibindo uma mensagem de erro ou atualizando o token. Você pode usar o operador catchError do RxJS para interceptar e manipular erros do serviço HttpClient.

Seguindo essas etapas, você pode implementar a proteção CSRF em seus aplicativos Angular e impedir solicitações não autorizadas de fontes mal-intencionadas. Isso aumentará a segurança e a confiabilidade de seus aplicativos da Web e protegerá os dados e as ações de seus usuários.

Adicione sua opinião

5 Veja o que mais considerar

Este é um espaço para compartilhar exemplos, histórias ou insights que não se encaixam em nenhuma das seções anteriores. O que mais gostaria de acrescentar?

Adicione sua opinião

Tecnologias da web

+ Siga

Classificar este artigo

Criamos este artigo com a ajuda da IA. O que você achou?

É ótimo Não é muito bom

Denunciar este artigo

Ver todos

Como implementar a proteção CSRF em aplicativos Angular?

1

2

3

4

5

1 Ativar cookies HTTP

2 Definir nomes de cookies e cabeçalhos

3 Enviar solicitações com HttpClient

4 Lidar com erros e exceções

5 Veja o que mais considerar

Tecnologias da web

Classificar este artigo

Agradecemos seu feedback

Outros artigos sobre Tecnologias da web

Leitura mais relevante