令牌和会话 cookie 的组合答案

【问题标题】：Combination of Token and session cookies令牌和会话 cookie 的组合
【发布时间】：2019-11-27 07:21:39
【问题描述】：

由于访问令牌容易受到 XSS
和 Cookie 容易受到 CSRF 的攻击。

是否可以同时解决（访问令牌和会话cookie）。

我的意思是，生成一个名为 X 的随机字符串，并将其存储在访问令牌和会话 cookie 中，因此当对资源的请求完成时，服务器端将确保 cookie 和令牌中的字符串是一样。

在这种情况下，我们正在消除单个 XSS 和 CSRF 攻击。

此解决方案是否比基于令牌和基于 cookie 的身份验证更安全？
并且其中是否存在任何严重漏洞？
如果有任何改进，请提出建议。

【问题讨论】：

【解决方案1】：

已经存在一种称为 CSRF 令牌的类似技术，我会研究一下

此外，防止 XSS 的最佳方法是添加良好的 XSS 保护，而防止 CSRF 的最佳方法是制定良好的 cookie 策略。

【讨论】：