- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
关闭。这个问题需要更多focused .它目前不接受答案。
想改善这个问题吗?更新问题,使其仅关注一个问题 editing this post .
5年前关闭。
Improve this question
我正在为基于浏览器的 Javascript Web 应用程序构建基于 JWT(JSON Web token )的身份验证机制,使用无状态服务器(没有用户 session !),我想一劳永逸地知道,如果使用存储我在 cookie 中的 JWT token 将保护我的 token 免受 XSS 攻击,或者如果没有保护,那么在我的 Javascript 应用程序中使用浏览器本地存储没有真正的优势。
我在 SO 和许多博客中看到过这个问题的提问和回答,但我从未见过真正让我满意的答案。
这个问题最初是在征求意见的基础上提出的 - 考虑到我原来的措辞,这是正确的。所以让我在这里和现在清楚地表明,我不想要基于开发人员懒惰等模糊概念的意见 - 这就是基本规则旨在消除的。我想要的是一个有证据支持的是/否答案。任何一个:
It's easier to deal with XSS than XSRF Cookies have this feature thatallows setting an HttpOnly flag from server side so they can only beaccessed on the server and not from JavaScript. This is useful becauseit protects the content of that cookie to be accessed by injectedclient-side code (XSS). Since tokens are stored in local/sessionstorage or a client side cookie, they are open to an XSS attackgetting the attacker access to the token. This is a valid concern, andfor that reason you should keep your tokens expiration low.
But if youthink about the attack surface on cookies, one of the main ones isXSRF. The reality is that XSRF is one of the most misunderstoodattacks, and the average developer, might not even understand therisk, so lots of applications lack anti-XSRF mechanism. However,everybody understands what injection is. Put simply, if you allowinput on your website and then render that without escaping it, youare open to XSS. So based on our experience, it is easier to protectagainst XSS than protecting against XSRF. Adding to that, anti-XSRF isnot built-in on every web framework. XSS on the other hand is easy toprevent by using the escape syntax available by default on mosttemplate engines.https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies#xss-xsrf
Stormpath recommends that you store your JWT in cookies for webapplications, because of the additional security they provide, and thesimplicity of protecting against CSRF with modern web frameworks.HTML5 Web Storage is vulnerable to XSS, has a larger attack surfacearea, and can impact all application users on a successful attack.https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/
I see a lot of discussions where cookies are pitted against accesstokens. While we’ve all been burned by systems that store a session IDin a cookie, and that cookie is not secured and thus gets stolen. Thatsucks, but its not a reason to use tokens. Its a reason to avoidnon-secure, non-https cookies.https://stormpath.com/blog/token-auth-spa/
最佳答案
放弃所有希望,除非你能抵御 XSS!
或者
根据其他标准选择适合您的方法,因为两者同样安全,同样不安全。
如果您使用 cookie,您绝对应该使用双重提交 cookie 防御或类似的东西,因为它确实可以在没有 XSS 的情况下保护您免受 CSRF 的侵害。也就是说,如果你不这样做,你肯定会受到 CSRF 攻击——来自其他域——甚至不需要 XSS 漏洞利用的工作。
但无论哪种方式,您的源代码都是公开可用的(浏览器中的 JavaScript),因此对于有动力的黑客来说,查找从本地存储中提取哪个 token 和读取您的 XSRF-TOKEN cookie 之间的努力没有显着差异。如果 Evil Corp 可以让一些 JavaScript 在您的域中运行——那就是 XSS——那么你就完蛋了。
您可能需要考虑的非安全相关标准供您选择:
关于javascript - cookie 是否可以保护 token 免受 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36980058/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!