我在react,redux应用程序中使用cognito,目前我将cooke存储在redux和cookie中,以便用户刷新页面。
loginSuccess(result.accessToken.jwtToken)
然后我将cookie作为标题添加到每个受保护的请求中:
fetch('http://localhost:3000/getData/', {
credentials: 'include',
headers: {
'Authorization': `Bearer ${token}`
}
})
我的问题是如何保护cookie中的令牌免受XSS攻击或中间人攻击,我需要将cookie设置为httponly。
我认为cognito可能会默认将内容存储在本地存储中,我想阻止它。
答案 0 :(得分:0)
我不知道您是否使用Cognito的托管UI。我使用过它,它只使用HTTPS,安全cookie和XSRF令牌来安全地存储会话信息。即使您不使用托管用户界面和use amazon-cognito-identity SDK,它也会使用安全Cookie来存储令牌。请参阅this page上的使用案例26 。
最后,如果您确实发现Cognito存储了一些不安全的存储(我还没有看到),您应该将其报告给AWS支持。我的意思是,如果他们的服务出现问题(例如内置用户界面),我们无能为力。