問題タブ [x-xsrf-token]

フォーム送信から API 経由でのデータ送信に成功しました。

しかし、ヘッダーに X-CSRF-TOKEN を追加して設定した後、 withCredentials: true 結果のデータは次の名前のスクリプトに投稿されませんでしたinsert.php

エラー：

http://localhost/simple_api/insert.phpを読み込めませんでした: プリフライト リクエストへの応答がアクセス制御チェックに合格しません: 応答の 'Access-Control-Allow-Origin' ヘッダーの値は、ワイルドカードであってはなりません ' *' 要求の認証情報モードが 'include' の場合。したがって、オリジン ' http://localhost:4200 ' へのアクセスは許可されません。XMLHttpRequest によって開始されたリクエストの資格証明モードは、 withCredentials 属性によって制御されます。

結果データの削除withCredentials: trueが正常に送信されました。しかし、X-CSRF-TOKEN を見ることができません

app.module.ts

user.services.ts

insert.php

ヘッダーの値を調べると、Xsrf-Token が設定されていませんでした。Xsrf-Token 値を設定するにはどうすればよいですか?

アップデート：

app.module.ts

当社では、AspNetBoilerplate (Abp 2.0.2.0) と AspNet Zero をフレームワークとして実行しているソフトウェアでセキュリティ スキャンを実施しました。

スキャンにより、Cookie でのサーバー側 JavaScript コード インジェクションが 3 回検出されました (RequestVerificationToken、XSRF-TOKEN、AspNet.ApplicationCookie)。

フレームワーク内にある場合、どうすればさらに調査して修正できるのでしょうか?

他の誰かがセキュリティ スキャンを実行してこれらに遭遇したことがありますか? もしそうなら、それらは誤検知ですか?

angular 6 と nodeJS Web アプリで奇妙な問題が発生しています。

csrf 保護を実装する必要があるため、ノード js に csurf を実装しました。ノード js コードを以下に示します。

私のangular jsコードは次のようになり、APIポストリクエストを呼び出します

今問題は、インポートでコードの下に追加した他のヘッダーを追加しなくても、ヘッダーを設定していないことです

しかし、X-XSRF-TOKEN ヘッダーを追加しないと何も機能しません。以下のようにインターセプターも実装しました。

XSRF-TOKEN のノード js コードによって設定されたトークン値も取得していますが、ヘッダーは設定されていません。

angular 6でヘッダーが設定されていない理由を知っている人はいますか? 注: 私は localhost で作業しているため、nodeJS はhttp://localhost:3000で実行され、angular はhttp://localhost:4200で実行されています。

Angular 7アプリケーションを提供するために、別のマシンでバックエンドサーバー+ nginxとして静的コンテンツのないAsp.Net Core Webapi 2を使用しています。services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN"); ここに質問があります:バックとフロントのマシンが分割されている場合のように、xrsf 偽造防止保護を使用しようとする意味は ありますか? 私が理解している限り、バックエンド サーバーが受け入れる Nginx から対応する Cookie を提供するには、これら 2 つのサーバー間で何らかの状態を管理する必要があります。