我的 HTML 中包含的 JavaScript 库可以使用我的 cookie 会话向我的网站发出请求吗?

【问题标题】:Can a JavaScript library included in my HTML make a request to my site using my cookie session?我的 HTML 中包含的 JavaScript 库可以使用我的 cookie 会话向我的网站发出请求吗?
【发布时间】:2026-01-15 20:20:04
【问题描述】:

如今,在您的前端项目中包含 3rd-party JS 依赖项非常普遍。例如,一些 ReactJS 组件。

是否有任何东西可以防止恶意代码与我的其他依赖项捆绑在一起并由我自己的服务器提供服务,例如通过进行简单的 AJAX 调用来删除我的帐户?

fetch("https://example.com/account", {
  method: 'DELETE'
});

如果是这样,这是否意味着我们根本不应该使用 cookie?

【问题讨论】:

    标签: javascript security cookies jwt xss


    【解决方案1】:

    这是所有开源库的普遍问题,无论是后端还是前端。

    如果攻击者可以将恶意代码添加到您的前端,则攻击者可以执行您的代码可以执行的任何操作。所以 cookie 或 jwt 或其他一些身份验证机制并不重要。攻击者可以添加反向通道并获得控制权(检查http://beefproject.com/

    这在后端更糟糕,使用后门代码可能会导致有人危及您的服务器或窃取您的所有数据库内容。

    考虑到这一点,您应该确保使用正确的库并进行一些审查。人们一直在 npm 中发布常见 javascript 库的后门版本。例子: https://www.theregister.co.uk/2017/08/02/typosquatting_npm/

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式