How does Angular handle XSS or CSRF?

XSS (跨站脚本攻击) 的防护

Angular 采用了多种措施来帮助开发者防止 XSS 攻击。在默认情况下，Angular 会自动进行数据绑定时的转义处理，以防止脚本注入。这里举个例子：

• 当你使用 interpolation （如 {{ value }}）来绑定数据时，Angular 会把数据当作文本处理，而不是 HTML。这意味着，即使 value 中包含了可能的HTML代码（如 <script> 标签），这些代码也不会被当作 HTML 或 JavaScript 执行，从而避免了 XSS 的风险。

CSRF (跨站请求伪造) 的防护

对于 CSRF 攻击，Angular 并没有内置特定的防护机制，因为 CSRF 的防护通常是依赖后端的安全策略来实施的。然而，Angular 可以配合使用某些通用的 CSRF 防护策略：

1. 使用 CSRF Token：服务器可以生成一个 CSRF token 并发送到客户端（例如在渲染表单时），然后客户端在后续请求中必须带上这个 token。服务器会验证这个 token，如果请求中没有合法的 token，则拒绝该请求。

   例如，在 Angular 中，当你使用 HttpClient 发送请求时，你可以配置一些 HTTP Interceptors 来自动在请求头中添加 CSRF token。

2. 使用 SameSite Cookie 属性：这是一个较新的浏览器功能，可以帮助防止 CSRF 攻击。设置 SameSite 属性为 Strict 或 Lax 可以限制第三方域的 cookie 发送，从而降低 CSRF 攻击的风险。

总的来说，Angular 在 XSS 方面提供了较为强大的自动防护，而 CSRF 的防护则更多依赖于后端策略与前端的协调配合。在实际的开发过程中，开发者需要结合使用 Angular 的安全特性和其他安全最佳实践来确保应用的安全。