在我的应用程序中,我要求客户端首先为自己创建一个令牌,并在每个请求中使用该令牌来访问服务器上的资源。但这并不能阻止csrf攻击。
那么在react,redux应用程序中防止CSRF和XSS攻击的最佳方法是什么?
答案 0 :(得分:0)
XSS和CSRF是不同的东西,我相信你不应该在单个问题中混合它们。
XSS是关于显示用户输入,而不是在您的身边/在您的HTML中进行任何消毒。并且该用户输入可能包含代表当前用户窃取cookie或发送私人消息等的javascript。显然要防止你需要消毒或逃避一切来自用户。但是React会为你做这件事,直到你冒险使用dangerouslySetInnerHTML
至于CSRF和一些外部客户端 - 你是什么意思“但这不能阻止csrf攻击”?客户端是否使用身份验证令牌,而您不检查它,以便任何人都可以向您的代码进程发送请求?
答案 1 :(得分:-1)
一个选项是使用csurf库为每个请求创建xsrf标记。
其次:如果您使用身份验证令牌仅通过http发布json数据而不使用cookie,则无法使用CSRF。