提问人:user19291301 提问时间:7/26/2023 更新时间:7/26/2023 访问量:56
防伪令牌最佳实践
Anti Forgery Token Best Practice
问:
我正在使用 asp.net 核心 Rest API。我在 cookie 中设置了 JWT 令牌,但存在 CSRF 的威胁。我搜索了一下,发现防伪令牌应该存储为cookie。但我这里有一个问题:
它仍然是威胁,不是吗?因为如果有人从其他域发出请求,防伪令牌 cookie 仍将包含在请求中。
既然我已经使用授权cookie,为什么还要使用存储在cookie中的防伪令牌?如果有人设法向我发送身份验证 cookie,它也会处理向我发送防伪令牌。
我应该将伪造令牌存储在 front-app 的 localStorage 中并将其作为请求标头发送吗?
我应该多久刷新一次防伪令牌?
如果我使用 CORS,如何有人能够对我使用 CSRF 攻击? 会拒绝这种请求吗?那么我为什么要使用防伪令牌呢?
backend
答: 暂无答案
评论