私のプロジェクトでは、Cookie セッション ベースの認証ではなく、tokken ベースの認証を実装しました。したがって、jwt(jason-web-tokkens) では、サーバーに送信要求が送信されるたびに、ヘッダーにトークンを添付してサーバーに送信し、シークレットに対してそれを検証します。最初に tokkkne を生成して送信します。応答。今、私はそれについて心配しています.最初にトークンはブラウザのローカルストレージに保存されます.トークンはハッシュされますが、ハッカーがそのトークンをストレージから取り出して使用するとどうなりますか? CORS攻撃を止める方法を誰か教えてもらえますか? 私は混乱しており、信頼できる答えをオンラインで見つけることができません。
質問する
912 次
1 に答える
2
CORSによって、あなたはXSS攻撃について言及していると思いますか? その場合、XSS を防止する最善の方法は、信頼できない入力からアプリを保護することです。これは言うは易く行うは難しです。これに関する情報を次に示します。
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS を防止する簡単な方法は、トークンをセキュアな HTTP のみの Cookie に保存することです。これは、Javascript 環境がそれに触れることができず、安全なチャネルを介してのみ送信されることを意味します。
ただし、無料のものは何もありません:)トークンをCookieに入れる場合は、CSRF防止戦略もセットアップする必要があります。
https://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
これは多くのことを取り入れることができます!
私はStormpathで働いており、最近、これらのトピックをカバーするこのブログ投稿を書きました:シングル ページ アプリ (SPA) のトークン ベース認証
于 2015-04-21T15:16:11.523 に答える