Session 反CSRF令牌是否存储在客户端、服务器端或两者上?
我正在创建一个带有Node.Js后端的React Js网站。我一直在试图找出一个用户身份验证实现来防止CSRF攻击,但是我真的很困惑在哪里存储反CSRF令牌 我对安全实现的思考过程如下Session 反CSRF令牌是否存储在客户端、服务器端或两者上?,session,cookies,jwt,xss,csrf,Session,Cookies,Jwt,Xss,Csrf,我正在创建一个带有Node.Js后端的React Js网站。我一直在试图找出一个用户身份验证实现来防止CSRF攻击,但是我真的很困惑在哪里存储反CSRF令牌 我对安全实现的思考过程如下 用户提交使用凭据登录的请求 凭据经过身份验证 服务器创建会话 服务器创建JWT用作反CSRF令牌 服务器将JWT(反CSRF令牌)存储在会话存储中 服务器向客户端发送响应。 响应具有将会话ID存储在客户端HttpOnly cookie中的头 响应负载包括JWT(反CSRF令牌) 客户端收到响应 客户端上只存储
- 响应具有将会话ID存储在客户端HttpOnly cookie中的头
- 响应负载包括JWT(反CSRF令牌)