如何保护 JWT 令牌以避免将其从一台计算机共享到另一台计算机
How to secure JWT token to avoid sharing it from one computer to another
我目前正在使用每 5 分钟过期一次的 256 哈希算法的 JWT 令牌,现在我的问题是如何保护令牌以防止它从 (Local Storage 或 Cookie) 到另一台计算机。有没有办法防止这种攻击?另请注意,我们在我们的站点中也使用 SSL,但我们仍然将其视为安全漏洞。有没有办法防止令牌从一台计算机复制到另一台计算机?
首先,你不应该将你的令牌或秘密项目放在本地存储中,因为它会带来 XSS(跨站点脚本)漏洞。这是因为 localStorage 始终可以通过 javascript 访问,并且 XSS 可以添加向另一台服务器发送令牌的恶意脚本。
您应该使用 http only flag 将您的代币放在 cookie 上。这样可以避免通过 javascript.
访问它们
我还建议阅读有关 cors 的内容,以便提供足够的保护以避免 CSRF(跨站点请求伪造)。
我目前正在使用每 5 分钟过期一次的 256 哈希算法的 JWT 令牌,现在我的问题是如何保护令牌以防止它从 (Local Storage 或 Cookie) 到另一台计算机。有没有办法防止这种攻击?另请注意,我们在我们的站点中也使用 SSL,但我们仍然将其视为安全漏洞。有没有办法防止令牌从一台计算机复制到另一台计算机?
首先,你不应该将你的令牌或秘密项目放在本地存储中,因为它会带来 XSS(跨站点脚本)漏洞。这是因为 localStorage 始终可以通过 javascript 访问,并且 XSS 可以添加向另一台服务器发送令牌的恶意脚本。
您应该使用 http only flag 将您的代币放在 cookie 上。这样可以避免通过 javascript.
访问它们我还建议阅读有关 cors 的内容,以便提供足够的保护以避免 CSRF(跨站点请求伪造)。