一、该问题的重现步骤是什么?
1. 请问blade是如何预防CSRF的,原理是什么能说明一下吗?
2.
3.
二、你期待的结果是什么?实际看到的又是什么?
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
作者你好,我们公司购买的付费版,文档中我没看到关于csrf攻击的预防手段说明,您能描述一下吗?谢谢。
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
其实管理平台不太关注这个问题。
像某依,在cookie保存js加密这种事都能干出来,密钥怎么都得后端传递过来(js 公钥加密,后端私钥解密),而不是都放js里,而且cookie还不是设置的HttpOnly的。
回到blade,blade理论上就只有登陆等少数几个接口是不需要 token 的。跨站攻击主要是另外的一个站点采用 js 或者 iframe 表单或者image等资源性质的像我们的后端接口发送请求。
所以这里我们就得注意 cors 跨域的域名设置,不要设置成 * ,而是根据自己的实际域名设置(正式环境)。这样就能抵挡住大部分的 csrf 攻击。另外就是 xss 防御。
blade 里面我们采用的是 localStorage 和 sessionStorage 存储 token 相关认证的敏感信息,而非 cookie,cookie 不够安全,js 进行 api 调用的时候改域名下的 cookie 会自动被携带。所以相对来说要安全得多,请不太太纠结这个问题。
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号