IE 10 挂起 XMLHttpRequest 6 分钟,然后响应请求(CRSF 实现 AngularJS)
IE 10 pending XMLHttpRequest for 6 minutes and then answers the request (CRSF implementation with AngularJS)
任务描述
我为我的 angular 应用程序实施了 CRSF 保护。服务器检查 crsf 令牌是否放在请求的 header 'X-CSRF-TOKEN' 中。如果不是,它会发送一个 HTTP 响应 403。
Ïn 我的客户端拦截所有请求并检查是否返回了 HTTP 响应 403。在这种情况下,我发送一个 HEAD 请求,以便从服务器获取 crsf 令牌,该令牌在响应的 header 'X-CSRF-TOKEN' 中返回。
从服务器获取令牌后,我使用 header 'X-CSRF-TOKEN'.
中给定的 crsf 令牌重新发送原始请求
问题描述
除了 Internet Explorer(试过 IE 9 和 10)以外的所有浏览器都可以正常工作。在本地(没有代理和防火墙)它也适用于 Internet Explorer。但在我们的生产环境中,头部请求 等待 360 秒,但随后 returns 预期的响应 .
我不确定发生了什么。为什么它在localhost上有效,但在生产环境中却无效?会不会是代理的问题?但为什么它适用于所有其他浏览器(chrome、firefox 等)?即使在 6 分钟后,IE 也会得到正确的答案并按预期进行。对我来说,它看起来不像是代理问题。那么,这是IE的问题吗?但为什么它在本地主机上工作?
IE和其他浏览器的请求唯一不同的是header中的referer:
- 在 IE 中,referer 看起来像 http://url/context-root/#/login
- 在其他浏览器中,referer 看起来像 http://url/context-root/
本地环境与生产环境的区别在于,代理会拦截请求并执行一些 context-rewriting 并打开 https 隧道。服务器实际使用 http,然后代理通过隧道传送请求。
有人知道问题出在哪里吗?
这是我的 angular 模块,它注册了 http-interceptor:
'use strict';
(function () {
angular.module('csrf-token-interceptor', [])
.config(function ($httpProvider) {
var csrfToken = { headerName: 'X-CSRF-TOKEN', token: null };
var getCsrfToken = function () {
var xhr = new XMLHttpRequest();
xhr.open('head', '/context-root/index.html?id=' + new Date().toString(), false);
xhr.send();
return { headerName: 'X-CSRF-TOKEN', token: xhr.getResponseHeader('X-CSRF-TOKEN') };
};
var numRetries = 0;
var MAX_RETRIES = 1;
$httpProvider.interceptors.push(function ($q, $injector) {
return {
request: function (config) {
config.headers[csrfToken.headerName] = csrfToken.token;
return config || $q.when(config);
},
responseError: function (response) {
if (response.status === 403 && numRetries < MAX_RETRIES) {
csrfToken = getCsrfToken();
var $http = $injector.get('$http');
++numRetries;
return $http(response.config);
}
return $q.reject(response);
},
response: function(response) {
numRetries = 0;
var newToken = response.headers(csrfToken.headerName);
if (newToken !== null) {
csrfToken.token = newToken;
}
return response;
}
};
});
});
})();
请看如下:
- POST http://url/context-root/#/login,时间:53ms,状态:403
- HEAD http://url/context-root/index.html?id=...,时间:360,2s,状态:200
- POST http://url/context-root/#/login,时间:49ms,状态:200
这可能 是 IE 中的一个错误,与您使用 HEAD 方法有关;见 https://connect.microsoft.com/IE/feedback/details/1023203/xhr-readystate-done-delay-on-head-request
你有没有用像 Fiddler 这样的代理观察过你的网络流量?如果是这样,你能分享一个流量捕获吗?
任务描述
我为我的 angular 应用程序实施了 CRSF 保护。服务器检查 crsf 令牌是否放在请求的 header 'X-CSRF-TOKEN' 中。如果不是,它会发送一个 HTTP 响应 403。
Ïn 我的客户端拦截所有请求并检查是否返回了 HTTP 响应 403。在这种情况下,我发送一个 HEAD 请求,以便从服务器获取 crsf 令牌,该令牌在响应的 header 'X-CSRF-TOKEN' 中返回。
从服务器获取令牌后,我使用 header 'X-CSRF-TOKEN'.
中给定的 crsf 令牌重新发送原始请求问题描述
除了 Internet Explorer(试过 IE 9 和 10)以外的所有浏览器都可以正常工作。在本地(没有代理和防火墙)它也适用于 Internet Explorer。但在我们的生产环境中,头部请求 等待 360 秒,但随后 returns 预期的响应 .
我不确定发生了什么。为什么它在localhost上有效,但在生产环境中却无效?会不会是代理的问题?但为什么它适用于所有其他浏览器(chrome、firefox 等)?即使在 6 分钟后,IE 也会得到正确的答案并按预期进行。对我来说,它看起来不像是代理问题。那么,这是IE的问题吗?但为什么它在本地主机上工作?
IE和其他浏览器的请求唯一不同的是header中的referer: - 在 IE 中,referer 看起来像 http://url/context-root/#/login - 在其他浏览器中,referer 看起来像 http://url/context-root/
本地环境与生产环境的区别在于,代理会拦截请求并执行一些 context-rewriting 并打开 https 隧道。服务器实际使用 http,然后代理通过隧道传送请求。
有人知道问题出在哪里吗?
这是我的 angular 模块,它注册了 http-interceptor:
'use strict';
(function () {
angular.module('csrf-token-interceptor', [])
.config(function ($httpProvider) {
var csrfToken = { headerName: 'X-CSRF-TOKEN', token: null };
var getCsrfToken = function () {
var xhr = new XMLHttpRequest();
xhr.open('head', '/context-root/index.html?id=' + new Date().toString(), false);
xhr.send();
return { headerName: 'X-CSRF-TOKEN', token: xhr.getResponseHeader('X-CSRF-TOKEN') };
};
var numRetries = 0;
var MAX_RETRIES = 1;
$httpProvider.interceptors.push(function ($q, $injector) {
return {
request: function (config) {
config.headers[csrfToken.headerName] = csrfToken.token;
return config || $q.when(config);
},
responseError: function (response) {
if (response.status === 403 && numRetries < MAX_RETRIES) {
csrfToken = getCsrfToken();
var $http = $injector.get('$http');
++numRetries;
return $http(response.config);
}
return $q.reject(response);
},
response: function(response) {
numRetries = 0;
var newToken = response.headers(csrfToken.headerName);
if (newToken !== null) {
csrfToken.token = newToken;
}
return response;
}
};
});
});
})();
请看如下:
- POST http://url/context-root/#/login,时间:53ms,状态:403
- HEAD http://url/context-root/index.html?id=...,时间:360,2s,状态:200
- POST http://url/context-root/#/login,时间:49ms,状态:200
这可能 是 IE 中的一个错误,与您使用 HEAD 方法有关;见 https://connect.microsoft.com/IE/feedback/details/1023203/xhr-readystate-done-delay-on-head-request
你有没有用像 Fiddler 这样的代理观察过你的网络流量?如果是这样,你能分享一个流量捕获吗?