reactjs - 使用 props 在 react 中传递身份验证令牌有哪些安全风险?
问题描述
我正在使用基于类的组件构建一个反应应用程序,并希望在道具中传递一个身份验证令牌。连接到我的浏览器的外部人员可以获取令牌并开始使用它吗?
如果这似乎是一个非常基本的问题,我深表歉意!
解决方案
存储在客户端应用程序中的任何内容都可以通过以下方式查看和修改:
- 终端用户
- 攻击者进行 XSS 攻击
在身份验证令牌的情况下,通过使用消息签名降低了修改的风险;如果消息内容发生更改,则签名将与签名者公钥的消息不匹配,因此令牌被拒绝。
但是,令牌的可见性仍然是一个需要考虑的问题——它可能会导致对应用程序端点的重放攻击,从而使最终用户能够执行您可能不希望他们执行的操作。如果您的应用程序容易受到 XSS 攻击,那么攻击者也可以执行这些操作。
一般来说,一个好的做法是将客户端提供的任何东西都视为恶意的,除非另有明确证明。
推荐阅读
- r - 修改 y 轴标签的除最后一个元素之外的所有元素
- c# - WPF 将自定义 ContextMenu 添加到另一个视图中引用的视图
- json - 使用jq如何将key添加到现有的JSON数据结构中
- sql - 计算最后滚动四个星期的平均值
- spring - Spring Boot REST - 将 ThreadPoolTaskExecutor 用于单个作业
- c++ - OpenCV 人脸检测 - if 语句
- visual-studio-2019 - 如何将 Visual Studio 2019 XML 文档格式化为 HTML 或 PDF
- json - ESP32 - http请求后响应无效
- php - 使用 payum symfony5 付款
- python - Chipwhisperer TVLA 在站点包中存在错误