在 SessionStorage 和 XSS React 中存储 JWT

【问题标题】:Storing JWT in SessionStorage and XSS React在 SessionStorage 和 XSS React 中存储 JWT
【发布时间】:2021-04-29 14:07:29
【问题描述】:

所以我想知道,因为 react 会转义 HTML,并且在使用普通输入/表单时实际上不允许 XSS,将 JWT 存储在 Storage 中是否安全,然后使用 Authorization HTTP 标头发送它,还是会将 jwt 存储在安全/HTTPonly/SameSite cookie 中更安全?

如果这是一个菜鸟问题,我很抱歉,但我已经阅读了很多关于这个主题的文章,但没有一个明确回答这个问题,我知道使用 cookie 对 XSS 更安全(仅使用 HTTP标志)但更容易受到 CSRF 攻击(使用相同的站点标志较少),但由于我们使用反应(不允许 XSS)并将其发送到授权标头(不允许 CSRF)不会那样更安全?

【问题讨论】:

    标签: reactjs cookies jwt xss csrf


    【解决方案1】:

    主要的一点是可以从 javascript 访问网络存储。由于这个原因,您的代码或您的某些依赖项可能包含会窃取您的令牌的安全漏洞。但是,old-school cookie 允许您配置 javascript 无法访问的数据(Http-Only)和仅在安全连接上存储的数据(安全)。

    【讨论】:

      猜你喜欢
      • 2017-03-06
      • 2021-06-18
      • 2020-06-19
      • 2012-01-27
      • 2015-09-01
      • 1970-01-01
      • 1970-01-01
      • 2015-02-22
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode