ajax - 使用 AJAX 时带有承载令牌的 JWT 可防止 CSRF 和 XSS
问题描述
我有一个 webapp,它有一个 javascript 页面,可以让 ajax 调用 web 服务。该站点使用的授权方案是 JWT,授权标头中使用了不记名令牌。
但是,我现在意识到我很容易受到 XSS 的攻击,因为令牌存储在 cookie 中,并且 javascript 需要访问它才能在其请求中设置不记名令牌。因此,httponly 设置为 false,这意味着我的令牌可能被盗。
那么,我想知道的是,在使用 ajax 请求和 JWT 的同时,是否有办法同时防止 CSRF 和 XSS?
解决方案
推荐阅读
- node.js - 在 Visual Studio 中创建 Node.js 和 React 应用程序时构建脚本不运行
- objective-c - 操作无法完成(nsurlErrorDomain 错误 -1012)
- java - 应用程序关闭后,我无法从画廊上传我的图像视图以保留
- git - 为什么在我从 GitHub 删除的项目上运行 git status 时会看到其他存储库?
- yii2 - 如果当前未登录应用程序,则在登录后重定向到特定页面
- c# - 如何使用 SkiaSharp 在 Xamarin 中创建简单的动画
- ada - Gnatchop 未解析文件
- angular - toString 的 ionic 4 最喜欢的问题并保存数据
- django - 使用 Django Rest Framework 计算对象
- python - 通过键列表在嵌套字典中附加(而不是替换)项目