XSRF令牌验证

Question

由于XSRF验证涉及将UI请求中发送的cookie/令牌与请求头作为同一请求的一部分进行匹配，那么本地测试的选项是什么？因此，假设我在本地运行UI，并且指向位于不同位置的服务器，cookie将永远无法在本地主机上读取(因为它是不同的主机)。在这种情况下，什么是最佳实践?它是否在服务器上添加了逻辑以标识原产地，并绕过了对的检查？

Answer 1

在这种情况下，我通常做的是使用/etc/hosts并为本地运行的代码使用子域。例如，UI在www.example.com上运行，服务器在api.example.com上运行，然后在我的主机文件中将www.example.com指向本地主机。

如果cookie不是samesite cookie，而且服务器具有适当的CORS设置，那么实际上使用它们在本地主机上应该不会有问题。您的UI将无法访问它们，但是浏览器应该将它们连同任何请求一起发送到服务器。(CORS应该允许凭据，用户界面的http客户端应该使用类似于withCredentials: true标志的东西)