请问blade是如何预防CSRF的，原理是什么能说明一下吗？

红烧肉 剑者 2020-05-29 16:40

• 

  如梦技术

  2020-05-29 17:59

  其实管理平台不太关注这个问题。

  
  

  像某依，在cookie保存js加密这种事都能干出来，密钥怎么都得后端传递过来（js 公钥加密，后端私钥解密），而不是都放js里，而且cookie还不是设置的HttpOnly的。

  
  

  回到blade，blade理论上就只有登陆等少数几个接口是不需要 token 的。跨站攻击主要是另外的一个站点采用 js 或者 iframe 表单或者image等资源性质的像我们的后端接口发送请求。

  
  

  所以这里我们就得注意 cors 跨域的域名设置，不要设置成 * ，而是根据自己的实际域名设置（正式环境）。这样就能抵挡住大部分的 csrf 攻击。另外就是 xss 防御。

  
  

  blade 里面我们采用的是 localStorage 和 sessionStorage 存储 token 相关认证的敏感信息，而非 cookie，cookie 不够安全，js 进行 api 调用的时候改域名下的 cookie 会自动被携带。所以相对来说要安全得多，请不太太纠结这个问题。 

  
  

  
  
  1 讨论(0)
  评论:

  提交评论

  ---

  •  加载中...
• 

  红烧肉

  2020-05-30 08:22

  好的，谢谢。
  0 讨论(0)
  评论:

  提交评论

  ---

  •  加载中...

验证码

 看不清?

提交回复