reactjs - httpOnly cookie 中的 JWT,cors 仅允许客户端域,csrf 令牌。我的架构有多安全?
问题描述
在过去的一周里,我读了很多关于如何构建安全认证架构的文章。根据我的阅读:
我正在运行一个使用在 node.js 服务器上生成的 JWT 进行身份验证的 React 应用程序(SPA,非服务器渲染)。我将 JWT 放在一个 httpOnly cookie 中,通过 https 安全,sameSite,JWT 和 cookie 的寿命都很短,并且我在我的服务器上配置了 cors,只允许我的前端域。我还在加载我的 React 应用程序时生成了一个 csrf 令牌服务器端 - 客户端调用一个端点,csrf 令牌在 json 中发送回,我用它设置了一个 X-CSRF-Token 标头。由于 cors 只允许我的域请求,并且我知道 CSRF 攻击来自另一个域,我知道我可以保护我的 CSRF 令牌端点。
在从 0 到 5 的范围内,0 表示绝对不安全,5 表示非常安全,我上面的架构对于防止 CSRF 攻击有多安全?如果少于 5 个,你会建议我多做些什么?谢谢,
解决方案
推荐阅读
- javascript - TinyMCE 4:使用 Axios 获取要发送的文本区域内容
- f# - Minimal F# example to watch the Windows security Event Log
- powershell - Powershell - 展开子数组并重命名字段
- assembly - Loading and running a raw binary file with 32-bit code in QEMU
- c - 在 AVL 树 C 中调用旋转函数
- ansible - 在 route53 模块中无法访问 ACME 质询 DNS 数据
- c - 浮点:FLT_HAS_SUBNORM 为 0 => 出现次正常值 => 未指定的行为?
- google-cloud-platform - 通过负载均衡器在谷歌云虚拟机上重写主机
- python - 类对象的比较运算符(不是实例)
- node.js - For 循环在 fs.readfile 完成之前迭代