在過去的幾天里，我一直在閱讀有關(guān) CSRF 的內(nèi)容，感覺我已經(jīng)很好地掌握了它是什么以及如何預(yù)防它。我正在構(gòu)建一個小型 Express/React 應(yīng)用程序，它將有一個用于更新應(yīng)用程序內(nèi)容的安全管理區(qū)域，并且我希望它能夠免受 CSRF 的影響。據(jù)我所知，服務(wù)器生成 CSRF 令牌然后將其與請求的視圖（頁面）一起發(fā)送到客戶端（然后可以將令牌隱藏在 HTML 表單輸入標(biāo)記中）是很常見的。但是，我的 Express API 不提供 HTML 服務(wù)，它是一個僅返回 JSON 數(shù)據(jù)的 REST API。UI 是用 React 構(gòu)建的，運行在與服務(wù)器不同的端口上。我的問題是；在哪里安全地存儲服務(wù)器上生成的令牌？例如，如果我通過點擊“/api/login”以管理員身份登錄，生成令牌，并在 API 響應(yīng)中將其發(fā)送回客戶端，那么我現(xiàn)在應(yīng)該如何處理它？最初的計劃是使用 Redux 來存儲 token，但是閱讀這篇文章Is Redux secure? ，這聽起來并不理想。我考慮過使用 React 環(huán)境變量，但也了解到這些變量在構(gòu)建中公開。顯然 localStorage 也是一個壞主意......我真的很難使用我正在實現(xiàn)的工具（即 Express/React）找到這個問題的解決方案任何幫助、鏈接、建議、批評將不勝感激，我想學(xué)習(xí)構(gòu)建考慮到安全性的應(yīng)用程序