我们有一个移动网站,它是单页应用程序风格(cfmanifest加载缓存),但登录后经过5到10页导航用户必须以表单形式向BE提交一些 secret 数据,但该表单是动态生成的在前端提交之前,如何处理CSRF(跨站请求伪造)和XSS(跨站脚本)在这种情况下会发生攻击吗? (不允许使用 cookies)。
我们的应用程序使用 Jquery+RequireJs+BackboneJs+Handlebar 模板。
最佳答案
如果不允许cookie,请尝试使用 session ...在加载表单之前...一些随机字符串或哈希 token 必须存储在服务器中。那么 token 必须作为隐藏传递给表单..提交时..服务器检查隐藏 token 是否与 session token 匹配。
关于javascript - 如何在不使用 cookie 的情况下处理单页应用程序中的 CSRF 和 XSS 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37201532/