Découvrez comment implémenter la protection CSRF dans vos applications Angular à l’aide de cookies, d’en-têtes, du service HttpClient et de la gestion des erreurs.

Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

Comment implémentez-vous la protection CSRF dans les applications Angular ?

CSRF, ou cross-site request forgery, est un type d’attaque web qui exploite la confiance entre un utilisateur et un serveur. Cela se produit lorsqu’un site Web ou un script malveillant envoie une requête à un serveur au nom d’un utilisateur, sans son consentement ou à son insu. Par exemple, un pirate informatique pourrait inciter un utilisateur à cliquer sur un lien qui transfère de l’argent de son compte bancaire vers le compte du pirate, en utilisant les cookies d’authentification de l’utilisateur.

Pour prévenir les attaques CSRF, les applications Web doivent implémenter une forme de mécanisme de protection qui vérifie l’origine et l’intégrité des requêtes. Une méthode courante consiste à utiliser un jeton CSRF, qui est une valeur aléatoire et unique générée par le serveur et attachée à chaque demande. Le serveur vérifie ensuite si le jeton correspond à celui stocké dans la session ou le cookie, et rejette toute demande qui n’a pas de jeton valide.

Angular est un framework populaire pour la création d’applications Web qui utilisent TypeScript, HTML et CSS. Angular dispose d’un support intégré pour la protection CSRF, qui fonctionne comme suit:

1 Activer les cookies HTTP

Angular utilise des cookies HTTP pour stocker le jeton CSRF et l’envoyer avec chaque requête. Pour activer cette fonctionnalité, vous devez importer le HttpClientModule à partir de @angular/common/http et l’ajouter au tableau imports de votre AppModule. Cela configurera automatiquement le service HttpClient pour utiliser l’interface XSRFStrategy, qui gère les noms de cookie et d’en-tête pour le jeton.

Add your perspective

Swapnil Dixit 🇮🇳

Data Analyst | SEO Specialist | Solving Complex Ranking Challenges | 400+ Keywords Ranked | Technical SEO |SERP Ranking | SaaS & Ecommerce SEO | Core Web Vital Optimization | GreyHat SEO | SEO Reporting
(edited)
Report contribution
Make sure the server validates the CSRF token while on incoming request. Use the HttpXsrTokenExtractor service. Work on server-side CSRF protection Add it the CSRF token in Angular's HTTP headers using an interceptor.

Like
Sudhakar Kandala

CEO at MODWEBS DIGITAL
Report contribution
Angular uses HTTP cookies to store the CSRF token and send it with each request. To enable this feature, you need to import the HttpClientModule from @angular/common/http and add it to the imports array of your AppModule. This will automatically configure the HttpClient service to use the XSRFStrategy interface, which handles the cookie and header names for the token.

Like
Hitesh Allam

Software Engineer at Verizon
Report contribution
To set up CSRF protection in an Angular app, first, ensure your server generates a CSRF token, sets it as a cookie (XSRF-TOKEN), and validates it on requests. In Angular, import HttpClientModule in your AppModule to handle CSRF tokens automatically. HttpClient will use the XSRF-TOKEN cookie to include the CSRF token in the X-XSRF-TOKEN header for requests. If needed, you can customize this behavior, but the default setup is usually sufficient. Verify that the token is correctly set in cookies and included in request headers, and ensure your server is properly validating it.

Like
REJI MODIYIL

Founder @Hostao L.L.C (.in accredited registrar), @AutoChat (Meta-Badged Partner) & @RatingE | SaaS, Web Hosting & WhatsApp Automation Expert | Empowering Businesses Globally
Report contribution
Ensure your backend sets the XSRF-TOKEN cookie with the appropriate value during authentication or login. If you're using a different library or custom logic for CSRF protection, the process might differ. For detailed guidance, refer to the official Angular documentation: [[invalid URL removed]]([invalid URL removed])

Like

2 Définir les noms des cookies et des en-têtes

Par défaut, Angular s’attend à ce que le serveur envoie le jeton CSRF dans un cookie nommé XSRF-TOKEN et le rerevienne dans un en-tête nommé X-XSRF-TOKEN. Toutefois, vous pouvez personnaliser ces noms si votre serveur utilise des conventions différentes. Pour ce faire, vous devez fournir une implémentation personnalisée du service HttpXsrfTokenExtractor, qui extrait le jeton du cookie, et du service HttpXsrfTokenService, qui génère et stocke le jeton. Vous pouvez ensuite utiliser les fournisseurs useClass ou useFactory pour remplacer les services par défaut dans votre AppModule.

Add your perspective

Nishita Doval

Full-Stack Developer | Angular, React, PHP, Python & JavaScript | Freelancer | Open to Work in Canada
Report contribution
If you wish to use a different cookie and header name, HttpClientXsrfModule has a method called withOptions. The usage looks like this: imports: [ HttpClientModule, HttpClientXsrfModule.withOptions({ cookieName: 'your-custom-Xsrf-Cookie', headerName: 'your-custom-Xsrf-Header' }) ] HttpClientXsrfModule implements its default HttpXsrfInterceptor as its interceptor. An interceptor is a service that transforms an outgoing HTTP request. You can also disable the CSRF protection using HttpClientXsrfModule.disable().

Like
Hitesh Allam

Software Engineer at Verizon
Report contribution
To set up CSRF protection in your Angular app, you need to match Angular's expectations with your server's conventions. By default, Angular looks for a CSRF token in a cookie named XSRF-TOKEN and sends it back in a header named X-XSRF-TOKEN. If your server uses different names, you can customize this. First, create a custom service to extract the CSRF token from the cookie and another service if you need to handle tokens differently. Then, override the default Angular services in your AppModule to use your custom ones. This way, Angular will fetch and send the CSRF token according to your server's setup, ensuring secure communication between your app and backend.

Like
Ankit Kaushik

React | Angular | Next.js | Frontend Tech Lead | Certified Professional
Report contribution
Backend service must be configured to set the cookie for your page, and to verify that the header is present on all eligible requests. When performing HTTP requests, the HttpClient interceptor reads a token from a cookie, by default XSRF-TOKEN, and sets it as an HTTP header, X-XSRF-TOKEN, although customising these defaults is also possible with the help of HttpClientXsrfModule.withOptions(). Because only code that runs on your domain could read the cookie, the backend can be certain that the HTTP request came from your client application and not an attacker.

Like

3 Envoyer des requêtes avec HttpClient

Pour envoyer des demandes avec le jeton CSRF, vous devez utiliser le service HttpClient, qui est injecté en tant que dépendance dans vos composants ou services. Le service HttpClient lit automatiquement le jeton du cookie et l’ajoute à l’en-tête de chaque demande, tant que la demande est envoyée au même domaine que l’application. Vous pouvez utiliser les différentes méthodes du service HttpClient, telles que get, post, put ou delete, pour envoyer des requêtes avec différents verbes et options HTTP.

Add your perspective

Hitesh Allam

Software Engineer at Verizon
Report contribution
To protect your Angular app from CSRF attacks, you first need your backend to generate and validate CSRF tokens. When a user accesses your app, the server should send a CSRF token as a cookie. Angular’s HttpClient service handles tokens automatically if the app and server are on the same domain. Just make sure to include cookies with requests by setting withCredentials to true in your HttpClient calls. If you need to manually handle tokens, you can extract them from cookies and include them in request headers. Additionally, configure your cookies with the SameSite and Secure attributes to enhance security. Lastly, test your setup thoroughly to ensure the CSRF protection is working as expected.

Like

4 Gérer les erreurs et les exceptions

Parfois, le serveur peut rejeter une demande avec un jeton CSRF si le jeton est expiré, non valide ou manquant. Dans ce cas, le serveur répond généralement avec un code d’état 403 Forbidden, indiquant que l’utilisateur n’est pas autorisé à effectuer l’action. Pour gérer ce scénario, vous devez intercepter l’erreur et la gérer de manière appropriée, par exemple en redirigeant l’utilisateur vers une page de connexion, en affichant un message d’erreur ou en actualisant le jeton. Vous pouvez utiliser l’opérateur catchError de RxJS pour intercepter et gérer les erreurs du service HttpClient.

En suivant ces étapes, vous pouvez implémenter la protection CSRF dans vos applications Angular et empêcher les requêtes non autorisées provenant de sources malveillantes. Cela améliorera la sécurité et la fiabilité de vos applications Web et protégera les données et les actions de vos utilisateurs.

Add your perspective

5 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?

Add your perspective

Comment implémentez-vous la protection CSRF dans les applications Angular ?

1

2

3

4

5

1 Activer les cookies HTTP

2 Définir les noms des cookies et des en-têtes

3 Envoyer des requêtes avec HttpClient

4 Gérer les erreurs et les exceptions

5 Voici ce qu’il faut prendre en compte

Web Technologies

Rate this article

Thanks for your feedback

More articles on Web Technologies

More relevant reading