在客户端javascript中存储JWT安全吗?
在客户端JavaScript中存储JWT(JSON Web Token)是一种常见的做法,但并不是最安全的方式。JWT是一种用于身份验证和授权的令牌,通常由服务器生成并签名,然后发送给客户端存储。客户端可以将JWT存储在本地,通常使用浏览器的本地存储(如localStorage或sessionStorage)或者cookie。
尽管JWT本身是安全的,但将其存储在客户端存在一些潜在的安全风险:
- XSS攻击:如果网站存在跨站脚本攻击(XSS)漏洞,攻击者可以通过注入恶意脚本来获取JWT并发送给恶意服务器。为了防止XSS攻击,应该采取适当的安全措施,如输入验证和输出编码。
- CSRF攻击:跨站请求伪造(CSRF)攻击可能导致攻击者通过伪造请求来利用存储在客户端的JWT。为了防止CSRF攻击,可以使用CSRF令牌和同源策略来验证请求的来源。
- 信息泄露:将JWT存储在客户端可能会导致信息泄露,因为JWT通常包含用户的敏感信息。为了减少风险,应该避免在JWT中存储敏感信息,并使用适当的加密和签名算法来保护JWT的完整性。
为了增加JWT的安全性,可以采取以下措施:
- 限制JWT的生命周期:设置适当的过期时间,使JWT在一定时间后失效,减少被攻击者滥用的风险。
- 使用HTTPS:通过使用HTTPS协议来传输JWT,可以防止中间人攻击和数据窃听。
- 使用HttpOnly Cookie:如果使用cookie存储JWT,应该将其标记为HttpOnly,以防止XSS攻击。
- 实施安全的开发实践:编写安全的前端代码,遵循最佳实践,如输入验证、输出编码和安全的存储。
总之,虽然在客户端JavaScript中存储JWT是一种常见的做法,但需要注意安全风险并采取适当的安全措施来保护JWT的安全性。
相关·内容
1回答
不相信JWT令牌+ CSRF令牌的安全性
authentication、xss、csrf、jwt、token
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
当用户登录时,客户端发送一个登录request.。
服务器将签名的JWT令牌设置为一个cookie,其响应头中有Set-Cookie ... ;Secure ;httpOnly。这可以防止XSS攻击,因为Javascript.无法访问cookie。
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。
当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cook
浏览 0提问于2018-11-29得票数 1
6回答
在浏览器中将JWT存储在哪里?如何防范CSRF?
security、authentication、cookies、csrf、jwt
我知道基于曲奇的认证。SSL和HttpOnly标志可用于保护基于cookie的身份验证不受MITM和XSS的影响。然而,需要采取更多的特别措施,以保护它不受中央应急基金的影响。他们只是有点复杂。()
最近,我发现JSON令牌(JWT)作为身份验证的解决方案非常热门。我了解有关编码、解码和验证JWT的内容。然而,我不明白为什么有些网站/教程告诉我们,如果使用JWT,就不需要CSRF保护。我读了很多书,并试图总结下面的问题。我只想有人提供一个更大的JWT图片,并澄清我误解了JWT的概念。
如果JWT存储在cookie中,我认为它与基于cookie的身份验证相同,只是服务器不需要有会话来验证co
浏览 7提问于2014-11-21得票数 293
回答已采纳
2回答
OpenID连接是否提供CSRF和XSS保护?
xss、csrf、openid-connect
我最近读过几篇关于如何在本地或会话存储中存储JWT的文章,它们本质上是不安全的。缓解显然是实现一种“会话ID模式”,即创建一个会话ID,它存储在一个签名的HttpOnly cookie中,并且还包括在JWT中,在这种情况下,可以比较服务器端,以确保令牌对应于正确的会话。
根据我对OpenID连接规范的有限理解,会话模式似乎是规范的一部分(作为state参数),所以我假设使用兼容的实现应该足以在这种特定的上下文中保护CSRF/XSS。
这是正确的假设吗?OpenID连接规范是否包括针对JWT的CSRF和XSS保护?
浏览 0提问于2020-12-29得票数 2
1回答
为什么JWT Wordpress插件推荐将令牌存储在cookie/localstorage中?
authentication、wordpress、jwt
阅读有关JWT的文章时,我附带了一个非常有趣的主题,如果jwt令牌在与wordpress一起使用时没有得到适当的安全保护,那么它就是jwt令牌的漏洞。
因此,问题是将令牌存储在cookie中将使其容易受到XSS或CSRF攻击,但是wp-api-jwt-auth的文档表示:
获得令牌后,必须将其存储在应用程序的某个位置,例如在cookie中或使用本地存储。
这是正确的吗?它不是很脆弱吗?
浏览 0提问于2019-01-26得票数 0
回答已采纳
4回答
没有HttpOnly标志的安全cookie是否存在问题?
tls、xss、http、cookies
我知道带有安全标志的cookie应该通过HTTPS连接传输。这也意味着应该保护这些cookie不受对手(私有cookie)的攻击。因此,在这种私有cookie上设置HttpOnly标志以防止XSS是很重要的。
带有安全标志但没有HttpOnly标志的私有cookie是否存在问题?
本质上,我认为HttpOnly标志应该添加到带有安全标志的cookie中。
浏览 0提问于2017-04-11得票数 22
回答已采纳
1回答
如果我同时检查cookie和令牌,我能否防止csrf或xss攻击造成的凭据泄漏?
web-browser、web
假设服务器可以提供一个cookie和一个令牌。然后,我在用户登录时设置它们。cookie被设置为httpOnly,令牌将保存在localStorage中。当用户执行提交时,它们都将被发回。AFAIK,cookie可以防止XSS泄漏,令牌可以防止CSRF。我能用这种方式阻止这两起袭击吗?
浏览 0提问于2022-01-10得票数 0
1回答
JWT +cookie+ HTTPS + CSRF
cookies、https、token、csrf、jwt
我已经在移动应用程序上与JWT合作过,但我将首次在一个网站上实现它,以便进行身份验证,而且我还有一点还不明白:
如果我在localStorage中使用JWT令牌,XSS攻击是可能的。
如果我在cookie中使用JWT令牌,那么CRSF攻击是可能的。
但是,如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie,并且令牌生存期为1个月,那么在这种情况下,CSRF攻击仍然可能吗?
我在web上看到了使用cookie的自定义令牌,或者使用localStorage或JWT的自定义令牌,但是我没有明确地得到httpOnly+secure cookie + JWT
浏览 3提问于2016-02-10得票数 16
回答已采纳
2回答
对CSRF和XSS的保护(散列+加密)
rest、xss、csrf
安全系统。如今,如果没有适当的安全程序,任何应用程序都无法在互联网上生存--无论是开发者使用的框架,还是开发者自己的框架。我目前正在开发一个使用Bearer身份验证的RESTful API,但是我一直在阅读关于XSS和CSRF攻击的文章。
问题1)从我所读到的中,我看到使用基于令牌身份验证的RESTful API的应用程序很容易受到XSS的攻击,如果令牌存储在浏览器的localStorage/sessionStorage而不是cookie中,则不会受到CSRF的攻击。这是因为,为了使CSRF工作,应用程序必须使用cookie。我说的对吗?
但是,既然令牌存储在localStorage/sess
浏览 0提问于2018-04-01得票数 5
我正在为我的web应用程序实现JWT身份验证和授权,并可能需要一些帮助来识别我的方法中的漏洞。我看到了许多简单的方法,比如将访问令牌设置为httpOnly cookie,但是,在我的访问令牌中有一些声明说,我的前端需要访问。我想出了解决这个问题的办法。
登录时,用户提供用户名和密码,以换取以下几项:
CSRF令牌
JWT访问令牌的头和签名
JWT访问令牌的有效负载
JWT刷新令牌
在我的方法中,所有这些项都被设置为cookie。JWT刷新令牌以及JWT访问令牌的头和签名都存储在httpOnly安全cookie中。JWT访问令牌的有效负载只是作为一个常规的旧cookie存
浏览 4提问于2020-07-26得票数 2
1回答
使用任何CSRF解决方案的cookie中的JWT是否与localStorage中的JWT一样容易受到XSS的攻击?
web-application、xss、csrf、jwt
我读过JWT令牌不应该存储在localStroage中,因为XSS攻击可以读取它们。提出的解决方案是在HTTPOnly cookies中存储JWT令牌,并使用反CSRF/双提交cookie。OWASP说,所有CSRF解决方案都容易受到XSS的攻击。如果是这样的话,那么使用CSRF的HTTPOnly cookie中的JWT是否同样容易受到XSS的攻击呢?如果是这样的话,为什么还要麻烦w/ CSRF而只将您的JWT存储在localStorage中呢?
浏览 0提问于2016-04-11得票数 4
2回答
JWT令牌与CSRF
javascript、php、http、jwt
我仍然不清楚JWT和CSRF是否合作。我理解JWT的基本原理(它是什么以及它是如何工作的)。我也理解CSRF当与会话一起使用时。类似地,我理解将JWT存储在localStorage中存在风险,这就是您需要csrf令牌的原因。所以我的问题是,我该如何同时使用它们。简单地说,我有一个登录页面。
1)我让用户登录,一旦使用了电子邮件和密码,如果用户经过身份验证,服务器将发送CSRF并将httpOnly cookie存储在JWT中(如何使用PHP设置cookie )。我所理解的是,您可以使用header('Set-Cookie: X-Auth-Token=token_value; Secure
浏览 0提问于2017-11-19得票数 13
1回答
如何使用HTTP只使用cookie来验证Django REST?
reactjs、django、django-rest-framework、django-react
我使用django rest框架并为我的项目响应js环境,为了存储jwt令牌本地存储,cookie是不安全的,所以我决定保存httponly cookie,如何实现身份验证?
如何在http标头中传递令牌
浏览 5提问于2020-11-07得票数 0
回答已采纳
4回答
JWT应该存储在localStorage或cookie中吗?
security、cookies、local-storage、jwt、restful-authentication
为了使用JWT保护REST,根据一些材料(比如这个和这个),JWT可以存储在localStorage或Cookies中。根据我的理解:
localStorage受XSS限制,通常不建议在其中存储任何敏感信息。
使用Cookies,我们可以使用标记"httpOnly“来降低XSS的风险。但是,如果我们要在后端阅读Cookies中的JWT,那么我们就需要使用CSRF。
因此,基于上述前提,最好将JWT存储在Cookies中。在对服务器的每个请求中,JWT将从Cookies中读取,并使用be方案添加到授权头中。然后,服务器可以在请求头中验证JWT (而不是从cookie中读取
浏览 9提问于2016-01-15得票数 148
回答已采纳
1回答
如何在内存中存储JWT不容易受到XSS的攻击?
cookies、jwt、xss
我在跟踪这个。
在那篇教程里,
,把它保存在饼干里怎么样?
在客户机上创建cookies以保存JWT也很容易使用XSS。如果它可以从你的应用程序之外的Javascript读取到客户端,那么它可能会被偷。您可能认为HttpOnly cookie (由服务器而不是客户端创建)会有所帮助,但cookie很容易受到CSRF攻击。需要注意的是,HttpOnly和合理的CORS策略不能防止CSRF表单提交攻击,使用cookie需要适当的CSRF缓解策略。
因此,作者将JWT保存在内存中(变量)。
但是我在这个上看到javascript可以读取其他变量。
当攻击者能够在网站上运行Javascript
浏览 1提问于2020-03-06得票数 4
1回答
会话Cookie HTTPOnly标志未在注销响应上设置(Django)
python、django、security、httponly
我有一个Django应用程序,并且正在配置一些安全设置。其中一个设置是SESSION_COOKIE_HTTPONLY标志。我把这个旗子设为True。
在会话创建(登录)中,如果检查cookie,我可以看到设置了会话HTTPOnly标志。在注销时,服务器将返回带有空值的会话cookie更新,以显示cookie已被销毁。此空cookie不会在设置httpOnly标志的情况下发回。
我的问题是:这是安全问题吗?是否有办法强迫Django在注销时设置此标志?或者,由于返回的会话cookie是空的,这是否只是预期的行为,而不是安全问题?
浏览 5提问于2015-11-18得票数 5
回答已采纳
1回答
存储在cookie中的JWT -安全性问题
rest、security、cookies、jwt、single-page-application
我正在构建带有服务器端呈现的SPA应用程序,使用基于JWT的身份验证。
目前的执行情况是:
在成功验证用户名和密码之后,将发出JWT令牌并将其传输到客户端。
令牌随后存储在cookie (而不是HttpOnly)中,目的是避免在完全刷新或关闭页面后再次登录。
用令牌注销已删除的cookie
如果存在令牌,则将Authorization头附加到每个API请求中。
全SSL通信量
由于服务器端呈现,我无法在LocalStorage中存储令牌,也没有HttpOnly,因为我需要访问cookie来构造Authorization头。
在这种架构中窃取令牌的可能性是什么?
浏览 2提问于2016-11-13得票数 0
1回答
流行网站基于Cookie的认证安全
authentication、web-application、cookies
让我们以谷歌和其他流行的银行网站为例,它们使用cookie。
我一直在与一个使用角的网站工作,该网站使用Laravel作为API。数据存储在cookies中,cookies在客户端(包括JWT )中易受攻击。
对于使用基于cookie的身份验证的网站,除了设置cookie的安全标志和选项之外,它们做了哪些安全实现和实践来保护和保护数据不受任何攻击?
下面是一些特定的cookie攻击:
CSRF饼干中毒
XSS
会话固定
偷听、劫持饼干/偷窃
来自相关主机名的Cookie注入
曲奇驱逐
直接曲奇注入
TCP/IP劫持
流行网站和银行网站如何处理这些攻击以保护存储在cookie中的数据?
浏览 0提问于2019-08-07得票数 0
2回答
CSRF澄清和解密
web-application、javascript、csrf
我理解跨站点请求伪造是如何发生的,但是我非常不清楚如何使用SPA(React)应用程序来保护它。
例如,我的当前策略是,在登录时,将csrf令牌作为cookie发送到客户端,在客户机上,获取该cookie并将其包含在req.body或自定义标头中。
我的快速后端正在使用CSURF包,并将在任何POST路由上验证令牌。
但是,这怎么安全呢?恶意网站可以做完全相同的事情,点击我的登录,接收令牌,添加到标头,然后做任何事情。
在SPA中,在我的API与发送我的客户端应用程序的服务器分离的SPA中,什么是防止CSRF的正确方法?
浏览 0提问于2019-09-23得票数 2
1回答
如果将用于auth的JWT令牌保存在HTTP cookie中,如何从cookie中读取它,以便我可以将它包含在请求头中?
security、authentication、cookies、jwt
我正在为用户构建一个使用JWT的Node应用程序。
当用户提交正确的id和密码时,我的服务器在HTTP中通过'Set- cookie‘发送JWT,但我仍然无法访问存储在cookie中的JWT,以便在发出授权的请求时将其包含在授权头中。
在向服务器发送API请求时,我如何从客户端访问HTTP专用cookie以包含它?
或者,让服务器在响应体中发送JWT,完全不使用cookie是安全的吗?这样我就可以通过将JWT放入客户端变量来使用JWT了?这样,我相信只有在用户关闭浏览器之前,变量才是有效的。
我寻找了许多资源,但未能找到明确的答案,我一直坚持这个问题。
浏览 3提问于2020-04-19得票数 7
回答已采纳
1回答
双提交Cookie:攻击者可以将cookie设置为单独的标头吗?
csrf、token
我正在使用HttpOnly cookie来存储身份验证令牌客户端。为了减少CSRF攻击的风险,我采用了双提交Cookie模式。相同的令牌作为一个单独的具有相同值的头保存在客户端,当用户登录时,这两个标记都会被发送给后续请求。
我的问题是:显然攻击者在执行CSRF攻击时会发送HttpOnly cookie,但是他们是否可以设置一个单独的授权头,其值与HttpOnly cookie相同,即使他无法读取该cookie的值?
注意:我知道与DSC相关的局限性和解决办法。
浏览 0提问于2019-10-14得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
