Token 存 localStorage 安全吗?为什么登录后还能被 CSRF 攻击?
我最近在做登录功能,后端返回的 token 我直接存到了 localStorage 里,每次请求手动加到 Authorization 头。但听说这样容易被 XSS 拿走,而且好像还是防不住 CSRF?有点懵。
比如我现在这个登录后的页面,会自动发个请求获取用户信息:
fetch('/api/user', {
headers: {
'Authorization': 'Bearer ' + localStorage.getItem('token')
}
})但同事说如果网站有 XSS 漏洞,攻击者就能读取 localStorage;而如果用 Cookie 存 token 又可能被 CSRF 利用。到底该怎么存才安全?有没有兼顾的办法?
- 1
回答
26浏览
前端怎么安全地处理 CSRF Token?
我在做登录功能时,后端要求每次请求都要带 CSRF Token,但我把 token 存在 Cookie 里,又怕被 XSS 攻击偷走。试过用 HttpOnly 的 Cookie,但前端又读不到 tok...
- 1
回答
53浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 2
回答
88浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
- 2
回答
83浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
- 1
回答
20浏览
前端存 Access Token 到底该用 localStorage 还是 cookie?
最近在做登录功能,后端返回了 Access Token,但我不确定该存在哪。听说 localStorage 容易被 XSS 攻击,但用 cookie 又怕 CSRF,到底怎么选才安全? 我试过把 to...
- 1
回答
26浏览
前端如何正确设置CSRF Token到请求头中?
我们后端启用了CSRF防护,要求每个POST请求都必须带上 X-CSRF-Token 请求头。我在登录成功后把token存到了 localStorage 里,但在发起请求时总是被拦截,提示 token...
- 2
回答
38浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
49浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 2
回答
70浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
120浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
但你说防不住 CSRF,这事儿得分情况看。你现在用的是 Authorization 头手动加 token,这种方式其实不太容易被 CSRF 攻击,因为恶意页面没办法自动设置 Authorization 头——它又读不到你的 localStorage。CSRF 能成功利用的是浏览器会自动带上 Cookie 这个特性,跟 Authorization 头没关系。
你同事说的"Cookie 存 token 会被 CSRF 利用",指的是把 token 存到 Cookie 里,然后靠 Cookie 自动发送来完成认证这种情况。这种情况下确实存在 CSRF 风险,因为浏览器会自动把 Cookie 带到跨域请求里。
那怎么兼顾?业界常见的做法是:
token 存 Cookie 里,但要设置 SameSite 属性。SameSite=Strict 最安全,完全禁止跨域带 Cookie;SameSite=Lax 允许部分 GET 请求带 Cookie,但 POST 这种会限制。如果用 SameSite=Strict,基本就能挡住大多数 CSRF 攻击了。
如果觉得 SameSite=Lax 不够用,还可以再搭配一个 CSRF Token。后端生成一个随机 token,存到 Cookie 里(不设置 SameSite,或者设置为 Lax),然后前端在请求时从 Cookie 读取这个值,放到自定义头或者请求体里。后端同时验证 token 和 Referer,这样就更稳妥。
还有个常见的 Double Submit 模式:CSRF Token 既存在 Cookie 里,也存在请求参数或头里,后端比对两者是否一致。这种不需要服务端存储,适合分布式场景。
简单总结一下:localStorage + Authorization 头这种方式,XSS 风险大,但 CSRF 风险相对小;Cookie + SameSite + CSRF Token 这种组合能兼顾两边。你现在如果想改,可以考虑把 token 存 Cookie,设置 SameSite=Strict,再配个 CSRF Token,这样基本就稳了。