在cookie存储中存储令牌时阻止CSRF的最佳做法是什么?

时间:2016-04-25 18:04:05

标签: node.js express cookies

我使用node.js和express.js实现一个网站,该网站使用JWT令牌来验证请求和登录。要登录网站(GET请求),我使用以下方案:

  1. 令牌存储在cookie存储中
  2. 随后每个http(s)请求自动发送令牌,然后由中间件检测,用于发送" req.headers.authorization"标题,然后用户被重定向到网站的受保护区域(http://www.example.com/

    3. 我使用这种方法,因此我可以保护网站的根级别,以及创建单独的保护区域(例如http://www.example.com/protected_area_1http://www.example.com/protected_area_2),因为项目的目标不同领域的内容很可能会非常不同,我希望避免将所有内容存储在一个巨大的单页Web应用程序中。

    对于API请求,我坚持使用html5storage和基于令牌的方法 - cookie仅用于实际登录。

    现在我的问题是:我是否需要担心使用这种方法防止CSRF攻击?由于我只使用cookie来存储实际令牌以进行登录,因此攻击者可以做的唯一事情就是让用户违背他们的意愿登录吗?没有任何实际的用户功能可以针对cookie进行验证。

0 个答案:

没有答案
相关问题
最新问题