我们有一个单页应用程序风格的移动网站(cfmanifest加载缓存),但登录后5到10页导航用户必须以表格形式向BE提交一些机密数据,但此表格是动态生成的在提交前的前端,如何处理 CSRF (跨站请求伪造)&在这种情况下, XSS (跨站点脚本)攻击? (不允许使用cookie)。
我们的应用程序使用 Jquery + RequireJs + BackboneJs + Handlebar 模板。
答案 0 :(得分:0)
如果不允许使用cookies,请在加载表单之前尝试使用会话......必须在服务器中存储一些随机字符串或散列令牌。然后必须将令牌传递给隐藏的表单..提交时...服务器检查隐藏的令牌是否与会话令牌匹配。