前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请求时又拿不到cookie…
具体操作是这样的:localStorage.setItem('token', encrypt(jwt)),后端用同样的密钥解密时总报错。改成cookie后,虽然设置了withCredentials: true,但跨域请求时后端还是收不到cookie,控制台提示”Blocked cross-site access”
现在卡在两种方案都通不过,有没有更好的存储方式?或者需要同时调整前后端哪些配置才能安全传输token?
- 1
回答
33浏览
JWT过期后如何自动刷新Token而不让用户重新登录?
我在React项目里用JWT做用户认证,登录后把access_token和refresh_token都存localStorage了。但access_token只有15分钟有效期,过期后接口就401了,...
- 1
回答
36浏览
JWT 存在 localStorage 会被 XSS 攻击吗?
我最近在项目里用 JWT 做用户认证,把 token 存在了 localStorage 里,但听说这样容易被 XSS 攻击偷走。我试过改成存 cookie,但又担心 CSRF 问题,到底该怎么安全地存...
- 2
回答
85浏览
JWT刷新时旧token未及时回收导致重复登录怎么解决?
我在用JWT做登录鉴权时遇到个问题,用户在A设备刷新token后,旧token居然还能在B设备正常登录,这样用户明明退出了怎么还会被绕过? 我的实现逻辑是这样的:用户登录成功后存储token到loca...
- 2
回答
70浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
- 2
回答
32浏览
前端如何用安全沙箱防止XSS攻击?
最近在做一个富文本编辑器的功能,用户可以输入HTML内容,但我担心XSS问题。听说可以用沙箱隔离,比如把内容放到iframe里?我试过动态创建iframe然后写入内容,但样式全乱了,而且有些脚本还是能...
- 1
回答
37浏览
前端如何在Vue项目中安全地处理用户输入以防止XSS攻击?
我在做DevSecOps集成时,安全扫描工具报了一个高危XSS漏洞,说用户输入直接渲染到页面上了。我试过用v-text,但有些地方必须用v-html展示富文本,结果就被扫出问题了。 比如下面这段代码,...
- 1
回答
33浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现有个地方可能有XSS漏洞。用户输入的内容直接插到页面里了,虽然用了innerText,但不确定是不是真的安全。 比如下面这段代码,把URL参数里的值直接显示出来,这样写会不...
- 2
回答
35浏览
前端如何正确处理用户输入防止XSS攻击?
我在做一个评论功能,用户提交的内容要显示在页面上,但担心XSS漏洞。比如用户输入了alert(1),直接innerHTML就会执行,这太危险了。 我试过用DOMPurify库清理,但有些场景又需要保留...
- 2
回答
36浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现用户输入的内容直接渲染到页面上,担心有XSS风险。比如下面这段代码,把用户昵称直接插进HTML里,会不会被注入脚本? <div class="user-info"&g...
- 2
回答
64浏览
JWT过期后如何自动刷新而不让用户重新登录?
我用JWT做用户认证,token一小时过期。现在的问题是,用户操作到一半突然跳回登录页,体验太差了。我看别人说可以用refresh token自动续期,但具体怎么在前端安全地实现? 我试过在每次请求前...
前端axios配置:
后端需要设置(以express为例):
补充:如果还不行,检查nginx配置有没有加
add_header 'Access-Control-Allow-Credentials' 'true'后端设Set-Cookie: token=xxx; HttpOnly; Secure; SameSite=Strict; Path=/,跨域接口Access-Control-Allow-Origin写具体域名,加Access-Control-Allow-Credentials: true。