在angular 6中不使用后端就可以防止csrf吗？

我们有一个基于会话的api。该公司正在使用laravel获取api，然后将其发送回angular 6，他们使用laravel而不是直接消费数据的唯一原因就是为了防止csrf

---

不使用服务器端后端就可以防止csrf吗？角拦截器能完成这个任务吗？没有代币，这是x会话。

你永远不能相信浏览器中发生的任何事情。您必须始终假设用户对浏览器拥有完全的控制权，并且可以随意提取、删除和修改数据

---

任何数据操作或安全敏感操作都需要在您控制的硬件上进行。

您永远不能信任浏览器中发生的任何事情。您必须始终假设用户对浏览器拥有完全的控制权，并且可以随意提取、删除和修改数据

---

任何数据操作或安全敏感操作都需要在您控制的硬件上进行。

自HttpClient以来，您可以实施客户端防御此攻击，但必须使用XSRF令牌在后端完成防御。此外，此攻击可以利用任何XSS漏洞，因此此攻击永远无法100%防御。只是一个简短的说明。@dAxx_tbat这就是我为什么问的原因，因为我非常确定我可以在客户端为它辩护。非常感谢你的留言，这是个好问题。我希望人们更多地关注安全方面。由于HttpClient，您可以实现客户端防御此攻击，但您必须使用XSRF令牌在后端完成防御。此外，此攻击可以利用任何XSS漏洞，因此此攻击永远无法100%防御。只是一个简短的说明。@dAxx_tbat这就是我为什么问的原因，因为我非常确定我可以在客户端为它辩护。非常感谢你的留言，这是个好问题。我希望人们能更加关注安全问题。