我使用node.js和express.js实现一个网站,该网站使用JWT令牌来验证请求和登录。要登录网站(GET请求),我使用以下方案:
我使用这种方法,因此我可以保护网站的根级别,以及创建单独的保护区域(例如http://www.example.com/protected_area_1和http://www.example.com/protected_area_2),因为项目的目标不同领域的内容很可能会非常不同,我希望避免将所有内容存储在一个巨大的单页Web应用程序中。
对于API请求,我坚持使用html5storage和基于令牌的方法 - cookie仅用于实际登录。
现在我的问题是:我是否需要担心使用这种方法防止CSRF攻击?由于我只使用cookie来存储实际令牌以进行登录,因此攻击者可以做的唯一事情就是让用户违背他们的意愿登录吗?没有任何实际的用户功能可以针对cookie进行验证。