XSRF和双提交cookie JWT替代方案 - 这种实现安全吗？

Question

我正在研究我的REST API的HTTP安全性，我希望通过使用Double Submit Cookie模式使其更加安全，但我非常确定我实际上已经在做类似的事情了（完全是偶然的）。

这是我的流程：

1. 客户端使用用户名和密码向服务器发出POST请求。
2. 服务器以JWT令牌响应。
3. 客户端将令牌保存到cookie中。
4. 在后续请求中，客户端读取令牌cookie并将令牌放入Authorization标头中（我非常确定此步骤与双cookie提交技术相同）。
5. 服务器根据授权标头中的有效标记对用户进行身份验证。

现在这不是100％的等同，因为服务器没有检查cookie和HTTP标头是否匹配（如果我需要，这将是微不足道的。）

到目前为止，我所拥有的是否足以阻止XSRF攻击，还是应该添加XSRF-TOKEN cookie？

Answer 1

我认为您可能对XSRF攻击安全，但听起来，您无法抵御XSS攻击。为了防止XSS攻击，您还需要在HttpOnly cookie中存储一个秘密。