首頁(yè) 猿問(wèn) 瀏覽器中如何保存REST認(rèn)證的To...

瀏覽器中如何保存REST認(rèn)證的Token, 防止CSRF攻擊?

JavaScript

慕桂英3389331 2019-04-07 11:19:11

在瀏覽器中需要使用Ajax訪問(wèn)RESTAPI,Token保存在cookie或localstorage中是否可行,會(huì)不會(huì)被竊取或者CSRF攻擊?如果使用JS讀取來(lái)添加到請(qǐng)求中,那么當(dāng)?shù)谝淮卧L問(wèn)時(shí),如何帶上Token?(根據(jù)有無(wú)Token判斷用戶身份來(lái)渲染首頁(yè)).剛剛接觸前端沒(méi)多久,Web安全方面不是很懂,請(qǐng)知道的朋友幫忙解答一下,謝謝.

查看完整描述

2 回答

嚕嚕噠

TA貢獻(xiàn)1784條經(jīng)驗(yàn) 獲得超7個(gè)贊

CSRF的是利用了瀏覽器給域下的請(qǐng)求自動(dòng)帶上保存的cookie，因此服務(wù)器端單純用cookie判斷的話確實(shí)會(huì)有問(wèn)題。常見(jiàn)解決的方案：1.把token放在cookie/ls里，用js讀取cookie中的token，放到ajax請(qǐng)求的參數(shù)中。服務(wù)器端用參數(shù)而非cookie讀token。2.遵照HTTP規(guī)范，更新資源用POST，這樣不能完全防范，但能提升CSRF攻擊的成本，常見(jiàn)的img標(biāo)簽攻擊會(huì)失效3.服務(wù)器端對(duì)請(qǐng)求的refer做判斷，過(guò)濾跨域的敏感請(qǐng)求建議以上幾點(diǎn)都采用，能把CSRF攻擊的門檻提高到相對(duì)比較安全的級(jí)別