84669 personnes étudient
152542 personnes étudient
20005 personnes étudient
5487 personnes étudient
7821 personnes étudient
359900 personnes étudient
3350 personnes étudient
180660 personnes étudient
48569 personnes étudient
18603 personnes étudient
40936 personnes étudient
1549 personnes étudient
1183 personnes étudient
32909 personnes étudient
在浏览器中需要使用Ajax访问REST API, Token保存在cookie或localstorage中是否可行,会不会被窃取或者CSRF攻击?如果使用JS读取来添加到请求中, 那么当第一次访问时, 如何带上Token?(根据有无Token判断用户身份来渲染首页).刚刚接触前端没多久,Web安全方面不是很懂,请知道的朋友帮忙解答一下, 谢谢.
CSRF的是利用了浏览器给域下的请求自动带上保存的cookie,因此服务器端单纯用cookie判断的话确实会有问题。
常见解决的方案:1. 把token放在cookie/ls里,用js读取cookie中的token,放到ajax请求的参数中。服务器端用参数而非cookie读token。2. 遵照HTTP规范,更新资源用POST,这样不能完全防范,但能提升CSRF攻击的成本,常见的img标签攻击会失效3. 服务器端对请求的refer做判断,过滤跨域的敏感请求
建议以上几点都采用,能把CSRF攻击的门槛提高到相对比较安全的级别
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
CSRF的是利用了浏览器给域下的请求自动带上保存的cookie,因此服务器端单纯用cookie判断的话确实会有问题。
常见解决的方案:
1. 把token放在cookie/ls里,用js读取cookie中的token,放到ajax请求的参数中。服务器端用参数而非cookie读token。
2. 遵照HTTP规范,更新资源用POST,这样不能完全防范,但能提升CSRF攻击的成本,常见的img标签攻击会失效
3. 服务器端对请求的refer做判断,过滤跨域的敏感请求
建议以上几点都采用,能把CSRF攻击的门槛提高到相对比较安全的级别