繁体 English 中英

保护访问令牌免受 XSS 攻击

[英]Protecting access token from XSS attack

原文 2020-08-07 05:18:14 2 1 javascript/ cookies/ xss

我一直在研究登录后在哪里存储访问令牌。 人们说本地存储不安全，因为可以使用 javascript（易受 XSS 攻击）读取它，并建议改为使用仅 http 的 cookies。

但是假设我的网站易受 XSS 攻击，并且运行一些恶意代码以从我的 API 获取数据。 它应该仍然有效，因为 cookie 只是自动添加到请求中，对吧？ 他们不知道 cookie 是什么，但请求最终仍然有效。 使用 XSS，恶意代码会像来自我的站点一样运行。

我在这方面是正确的吗？

你是对的，攻击者将能够制造你的 api 允许的任何东西。

“将令牌保存在 HTTP 唯一 cookie 中”背后的想法是防止客户端访问令牌以窃取它。

防止javascript中的xss攻击造成url

[英]prevent url from xss attack in javascript

[英]XSS attack from url get variable

[英]How to prevent XSS attack from the ASP

[英]Protecting web application from CSRF attack using Spring Security

[英]Protecting from XSS in escape_javascript() output in Rails

[英]XSS Attack for Modifying the URL

[英]Detecting DOM XSS attack

[英]Preventing XSS Attack on Form

[英]XSS attack prevention

[英]How is this XSS attack working?

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 防止javascript中的xss攻击造成url 来自网址的XSS攻击获取变量如何防止来自 ASP 的 XSS 攻击使用Spring Security保护Web应用程序免受CSRF攻击在Rails中的escape_javascript（）输出中保护XSS XSS攻击以修改URL 检测 DOM XSS 攻击防止表单上的 XSS 攻击 XSS攻击预防这种XSS攻击如何起作用？

相关标签