我一直在阅读令牌身份验证以及XSRF和XSS攻击获取身份验证信息的可能性。
我理解为了防止XSRF攻击,它是一种从cookie中读取自定义身份验证令牌然后在发出任何AJAX请求之前将其添加到自定义请求标头的流行方法。然后,服务器可以在请求标头而不是cookie上运行验证。我相信AngularJS使用这种方法:https://docs.angularjs.org/api/ng/service/ $ http
我在预防XSS攻击时出现了疑惑。显然最好确保没有用户输入能够注入javascript,但是假设找到了一个缺陷,因为需要读取上面提到的cookie以便在请求头中设置它的值,isn&#39它容易受到XSS攻击吗?由于cookie不能仅设置为HTTP,攻击者是否可以不读取cookie以获取身份验证令牌然后伪造请求?如果是这样,如何防止这种情况?
感谢任何信息。
答案 0 :(得分:1)
如果您的网站容易受到XSS攻击,则该Cookie只会受到XSS攻击。
因此,您必须确保在页面上显示任何用户输入之前进行清理。