由于访问令牌容易受到XSS的攻击
和Cookies容易受到CSRF的攻击。</ p>
是否有可能同时解决这两个问题(访问令牌和会话cookie)。
我的意思是,生成一个名为X的随机字符串,并将其存储在访问令牌和会话cookie中,因此,对资源的请求完成后,服务器端将确保cookie和token中的字符串是一样。
在这种情况下,我们消除了单独的XSS和CSRF攻击。
此解决方案比基于令牌和基于cookie的身份验证更安全吗?
里面有任何严重的漏洞吗?
如果有任何增强,请提出建议。
答案 0 :(得分:0)
一种类似的称为CSRF令牌的技术已经存在,我会对此进行研究
What is a CSRF token ? What is its importance and how does it work?
此外,针对XSS的最佳保护措施就是添加良好的XSS保护,而针对CSRF的最佳保护措施就是制定良好的cookie策略。