reactjs - 使用 props 在 react 中传递身份验证令牌有哪些安全风险？

我正在使用基于类的组件构建一个反应应用程序，并希望在道具中传递一个身份验证令牌。连接到我的浏览器的外部人员可以获取令牌并开始使用它吗？

如果这似乎是一个非常基本的问题，我深表歉意！

标签： reactjsauthenticationreact-propsreact-component

存储在客户端应用程序中的任何内容都可以通过以下方式查看和修改：

在身份验证令牌的情况下，通过使用消息签名降低了修改的风险；如果消息内容发生更改，则签名将与签名者公钥的消息不匹配，因此令牌被拒绝。

但是，令牌的可见性仍然是一个需要考虑的问题——它可能会导致对应用程序端点的重放攻击，从而使最终用户能够执行您可能不希望他们执行的操作。如果您的应用程序容易受到 XSS 攻击，那么攻击者也可以执行这些操作。

一般来说，一个好的做法是将客户端提供的任何东西都视为恶意的，除非另有明确证明。