我已经搜索并阅读了许多文章,无论是在 session 还是 cookie 中存储 JWT 的位置,但我无法知道什么是在我的 react redux 应用程序中存储我的 JWT 的正确位置或方式
我将 JWT 存储在 session 存储中,但它很容易从开发人员工具中暴露。如果我尝试使用 HTTPonly cookie那么它就无法被 javascript 读取。所以我担心在哪里存储不能暴露给用户的 JWT token ,或者应该采取什么步骤或措施来确保应用程序安全,以便用户不知道jwt token
请提出建议
最佳答案
我认为这可能有帮助:
使用httpOnly secure cookie。
当您向服务器发出请求时,Cookie 会自动发送到服务器,但只发送相关的 Cookie(值得庆幸的是)。
您应该在服务器端进行身份验证,而不用担心在客户端 JS 的单个请求中传递 JWT cookie。据我所知,这是减轻 XSS 攻击的唯一好方法
关于javascript - 想要在基于 React 的应用程序中保护 jwt,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51168264/