我有一個需要登錄認證的產品。我使用jwt,但將其存盤在cookie中(我知道一旦出現xss漏洞,這可能是一個問題)。
這個產品也被提供給一些 "其他域",這些域通過iframe嵌入它。
我很好奇,在這種情況下,是否有任何我沒有想到的安全風險。
例如,由于我使用 cookie 來存盤我的 JWT 令牌,那么父級 "其他域 "是否可以訪問我的認證令牌?如果父域有 xss 漏洞,那么這將自動意味著我也有漏洞。
uj5u.com熱心網友回復:
我有一個需要登錄認證的產品。我使用jwt,但將其存盤在cookie中(我知道一旦出現XSS漏洞,這可能是一個問題)
。
存盤在cookie中不是問題,現在通過使用一些頭檔案,如sameSite和CSP,更難利用XSS,他們可以彈出警告框,但他們不能竊取cookie,盡管它給你使用它的信心,這真的取決于你如何編碼一個功能。如果你使用框架工具(如Jinja, Vue, angular, ejs...等),攻擊者注入代碼的可能性非常低。
這個產品也被提供給一些通過iframe嵌入的 "其他域"如果父域有XSS,那么iFrame也可能受到XSS的影響。他們可以看到內容并將其發送到那里的域或有一個名為xsshunter.io的工具,你可以通過在開發服務器上測驗IT來檢查。但如果你使用CSP和同網站。那么這就不是一個問題,除了白名單的域之外,不會有與外部域的通信。 如果是從子域到父域的垂直權限,那么你就有一個偉大的功能,在iframe中稱為沙盒。
(無值) 應用所有限制 allow-forms 允許提交表單 allow-modals 允許打開模態視窗 allow-orientation-lock 允許鎖定螢屏方向 allow-pointer-lock 允許使用指標鎖定API allow-popups 允許彈出視窗 allow-popups-to-escap-sandbox 允許彈出式視窗打開新視窗而不繼承沙盒。 allow-presentation 允許啟動一個演示會話 allow-same-origin 允許將iframe的內容視為來自同一源頭 允許-腳本 允許運行腳本 允許頂部導航 允許iframe內容在其頂部瀏覽環境中進行導航 allow-top-navigation-by-user-activation 允許iframe內容瀏覽它的頂層瀏覽環境,但只有在用戶啟動的情況下。在標題中使用JWT是一個很好的做法,但在cookie中使用它完全沒有問題,但在標題中使用JWt更安全。 希望這對你有所幫助!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/329555.html
標籤:
上一篇:如何避免在Python(selenium)中用'if'陳述句無法定位元素?
下一篇:如何減少頁面中的串列空間?