[英]Can a JavaScript library included in my HTML make a request to my site using my cookie session?
如今,在您的前端項目中包含第三方JS依賴關系非常普遍。 例如,一些ReactJS組件。
是否有什么方法可以防止通過與我的其他依賴項捆綁在一起並由我自己的服務器提供服務的惡意代碼,例如通過進行簡單的AJAX調用來刪除我的帳戶?
fetch("https://example.com/account", {
method: 'DELETE'
});
如果是這樣,這是否意味着我們根本不應該使用Cookie?
對於后端和前端的所有開源庫來說,這都是一個普遍的問題。
如果攻擊者可以將惡意代碼添加到您的前端,則攻擊者可以執行您的代碼可以執行的任何操作。 因此,cookie或jwt或其他身份驗證機制並不重要。 攻擊者可以添加反向通道並獲得控制權(請檢查http://beefproject.com/ )
在后端,情況甚至更糟,因為使用后門代碼可能會導致某人損害您的服務器或竊取您的所有數據庫內容。
考慮到這一點,您應該確保使用正確的庫並進行審查。 人們已經在npm中發布了通用javascript庫的后門版本。 示例: https : //www.theregister.co.uk/2017/08/02/typosquatting_npm/
如何使用javascript或html為我的網站制作一個跨瀏覽器友好的文本輪播?
[英]How can I make a text carousel for my site cross browser friendly by using javascript or html?
我無法使用 axios 從我的發布請求中獲取我的 httpOnly cookie
[英]I can't get my httpOnly cookie from my post request using axios
如何使用javascript在chrome擴展程序中創建會話?
[英]How can I create session in my chrome extension using javascript?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.