首頁猿問瀏覽器中如何保存REST認證的To...

瀏覽器中如何保存REST認證的Token, 防止CSRF攻擊?

JavaScript

慕桂英3389331 2019-04-07 11:19:11

在瀏覽器中需要使用Ajax訪問RESTAPI,Token保存在cookie或localstorage中是否可行,會不會被竊取或者CSRF攻擊?如果使用JS讀取來添加到請求中,那么當?shù)谝淮卧L問時,如何帶上Token?(根據(jù)有無Token判斷用戶身份來渲染首頁).剛剛接觸前端沒多久,Web安全方面不是很懂,請知道的朋友幫忙解答一下,謝謝.

查看完整描述

2 回答

嚕嚕噠

TA貢獻1784條經(jīng)驗獲得超7個贊

CSRF的是利用了瀏覽器給域下的請求自動帶上保存的cookie，因此服務器端單純用cookie判斷的話確實會有問題。常見解決的方案：1.把token放在cookie/ls里，用js讀取cookie中的token，放到ajax請求的參數(shù)中。服務器端用參數(shù)而非cookie讀token。2.遵照HTTP規(guī)范，更新資源用POST，這樣不能完全防范，但能提升CSRF攻擊的成本，常見的img標簽攻擊會失效3.服務器端對請求的refer做判斷，過濾跨域的敏感請求建議以上幾點都采用，能把CSRF攻擊的門檻提高到相對比較安全的級別