只是一个建议:在客户端(cookie/localStorage)的不同 JWT 存储方法中添加一些有关安全问题的信息会很酷 - XSS、CSRF 等。
sarneeh
所有3条评论
@sarneeh感谢您打开此问题。 👍
如果你有时间创建一个拉取请求,请去吧! (_您对此存储库具有写入权限_)
适用于 JWT 的安全问题与其他令牌方案相同。
如果恶意用户能够在域上运行 XSS 攻击,他们将能够获取 JWT 并使用它来模拟用户,而不管它如何存储在客户端上。
恶意 JS 可以轻松读取和泄漏 cookie 和 localStorage。
我们应该建议使用 JWT 的人,它们不能防止 OWASP 攻击,而只是一种_方便_的传输签名声明/数据的方式。 📝
nelsonic
于 2019-01-04
@nelsonic
适用于 JWT 的安全问题与其他令牌方案相同。
如果恶意用户能够在域上运行 XSS 攻击,他们将能够获取 JWT 并使用它来模拟用户,而不管它如何存储在客户端上。
恶意 JS 可以轻松读取和泄漏 cookie 和 localStorage。
我部分同意。 你有一个类似于httpOnly和secure cookie,可以防止攻击者获取你的 JWT。 但我完全同意,如果您对 XSS 攻击持开放态度,这并不能保护您免受任何伤害,因为有人可以代表用户做事(不是窃取令牌,而是注入恶意脚本)。
所以我想最后,无论你使用localStorage还是cookie ——如果你对 OWASP 攻击持开放态度——你就完蛋了。 但是,如果您受到保护,那么这两种方法都应该是安全的。
我很想准备一些公关,但我现在很难赶上,并且将在接下来的 1-2 个月内免费。 如果有人跑不过我,我会准备一些 PR 😄
sarneeh
于 2019-01-04
@sarneeh感谢您打开此问题。
如果你有时间创建一个拉取请求,请去吧! (_您对此存储库具有写入权限_)适用于 JWT 的安全问题与其他令牌方案相同。
如果恶意用户能够在域上运行 XSS 攻击,他们将能够获取 JWT 并使用它来模拟用户,而不管它如何存储在客户端上。
恶意 JS 可以轻松读取和泄漏 cookie 和 localStorage。我们应该建议使用 JWT 的人,它们不能防止 OWASP 攻击,而只是一种_方便_的传输签名声明/数据的方式。
如上所述,cookie 可以有 httpOnly 选项。
根据这篇文章,使用 localstorage 而不是 httponly cookie 确实不安全
虽然我觉得我在上一节中明确表示永远不要将敏感信息存储在本地存储中,但我觉得有必要专门调用 JSON Web Tokens (JWT)。
我今天看到的最大的安全犯罪者是我们这些将 JWT(会话数据)存储在本地存储中的人。 许多人没有意识到 JWT 本质上与用户名/密码相同。
如果攻击者可以获得您的 JWT 的副本,他们就可以代表您向网站发出请求,而您永远不会知道。 像对待信用卡号或密码一样对待您的 JWT:永远不要将它们存储在本地存储中。
NitroBAY
于 2019-11-13
相关问题
nelsonic
·
4评论
NE-SmallTown
·
5评论
rjmk
·
9评论
alanshaw
·
6评论
joepie91
·
18评论
最有用的评论
@nelsonic
我部分同意。 你有一个类似于
httpOnly和securecookie,可以防止攻击者获取你的 JWT。 但我完全同意,如果您对 XSS 攻击持开放态度,这并不能保护您免受任何伤害,因为有人可以代表用户做事(不是窃取令牌,而是注入恶意脚本)。所以我想最后,无论你使用
localStorage还是cookie——如果你对 OWASP 攻击持开放态度——你就完蛋了。 但是,如果您受到保护,那么这两种方法都应该是安全的。我很想准备一些公关,但我现在很难赶上,并且将在接下来的 1-2 个月内免费。 如果有人跑不过我,我会准备一些 PR 😄