JWTauthentication是否安全?它如何保护CORS?
我已经在我的项目中实现了基于tokken的身份validation,而不是基于cookie会话的身份validation。 所以,在jwt(jason-web-tokkens)中,每次发送请求给服务器,我在头文件中附加tokken并把它发送给服务器,这个服务器在第一次生成tokkkne时使用的密钥被用来validation它,然后发送给我响应。 现在,我担心它,首先将tokken保存在浏览器的本地存储中。虽然tokken被哈希了,但是如果黑客把它从存储中取出并使用它呢? 谁能告诉我如何阻止CORS攻击? 我很困惑,在网上找不到任何可靠的答案。
通过CORS我认为你指的是XSS攻击? 如果是这样,防止XSS的最好办法是保护您的应用程序不受信任的input。 说起来容易做起来难,这里有一些资料:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
防止XSS的更简单的方法是将令牌存储在安全,仅HTTP的Cookie中。 这意味着Javascript环境不能触及它,只会通过安全的渠道发送。
没有任何东西可以免费使用:)如果您将令牌放在cookie中,您还需要设置CSRF预防策略:
https://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
这可以采取很多!
我在Stormpath工作,最近我写了这篇博客文章,内容包括以下主题: 基于令牌的单页面应用validation(SPA)