将JWT存储在windows对象中并在需要时检索它是安全的。
将JWT存储在windows对象中并在需要时检索它是不安全的。Windows对象是指浏览器的window对象,它是一个全局对象,可以在前端JavaScript中使用。然而,将JWT存储在window对象中存在以下安全风险:
- 客户端数据暴露:将JWT存储在window对象中意味着JWT将被存储在客户端的内存中,这使得JWT容易受到恶意脚本的攻击。恶意脚本可以通过窃取JWT并将其发送给攻击者,导致身份验证信息泄露。
- 跨站脚本攻击(XSS):如果应用程序存在XSS漏洞,攻击者可以注入恶意脚本来访问和窃取存储在window对象中的JWT。这将导致身份验证信息被盗取,攻击者可以冒充用户进行未经授权的操作。
为了确保JWT的安全性,应该采取以下措施:
- 使用HTTP-only Cookie:将JWT存储在HTTP-only Cookie中,这样可以防止客户端JavaScript代码访问该Cookie,减少了受到XSS攻击的风险。
- 使用安全的存储机制:将JWT存储在安全的存储机制中,如服务器端的内存、数据库或缓存中。这样可以确保JWT不容易被窃取或篡改。
- 使用HTTPS:通过使用HTTPS协议进行通信,可以加密传输的数据,防止中间人攻击和数据窃听。
- 限制JWT的有效期:设置JWT的有效期较短,以减少JWT被盗用的风险。可以通过设置较短的过期时间和实现刷新令牌机制来实现。
总结起来,将JWT存储在windows对象中并在需要时检索它是不安全的。为了确保JWT的安全性,应该将其存储在安全的存储机制中,并采取适当的安全措施,如使用HTTP-only Cookie、HTTPS协议和限制JWT的有效期。
相关·内容
1回答
将JWT存储在windows对象中并在需要时检索它是安全的。
angular、reactjs
我在Url中获得了一个访问令牌(JWT)。例如:http://1.2.3.4:8000/ABCService/ValidateID?将此令牌存储在windows对象中是否安全?例如: window.jwt =令牌 如果"yes“,它如何在React JS中实现(从窗口对象中提取JWT并执行下一步操作,如验证
浏览 21提问于2019-04-25得票数 0
1回答
暂时将JWT存储在react本机变量中安全吗?
reactjs、react-native、jwt
我目前正在使用react本机-安全存储为我的用户存储JWT。应用程序从Express API中检索数据,因此在发出HTTP请求时,我从安全存储中检索令牌,当异步函数完成时,令牌被发送到API。我现在遇到了一个问题,就是我想要创建一个组件,其中包含一个来自API的映像,但是我无法在异步函数中获得
浏览 4提问于2021-10-10得票数 0
回答已采纳
1回答
在SessionStorage和XSS React中存储JWT
reactjs、cookies、jwt、xss、csrf
所以我想知道,既然react转义了HTML,并且在使用普通输入/表单时不允许使用XSS,那么将JWT存储在Storage中,然后使用Authorization HTTP头发送它是否安全,或者将jwt存储在secure/HTTPonly/SameSite cookie中会更安全吗?如果这是一个菜鸟问题,我很抱歉,但是我
浏览 3提问于2021-01-26得票数 1
2回答
考虑到某些要求,让JWT永不过期是否可以呢?
node.js、express、cookies、jwt、httponly
我不想实现诸如redis或在数据库中存储刷新令牌之类的东西。我想利用JWT的“全功能”(可伸缩性,不需要存储任何与会话/令牌、无状态等相关的内容)。假设我有一个设置为安全的cookie,httpOnly,samesite=lax。当用户关闭网站时,cookie将过期,除非用户指定了“记住我”选项。在这个cookie中,将存储一个
浏览 10提问于2020-06-08得票数 0
回答已采纳
1回答
使用NodeJS,如何使用Security生成的JWT检索存储在NodeJS中的会话信息?
node.js、spring、spring-boot、spring-security、spring-security-oauth2
我有一个Java spring后端,它使用LDAP作为用户帐户,使用spring安全性进行身份验证。我还使用SpringSecurityOAuth2进行客户端身份验证,并使用JWT对客户端进行身份验证。有可能吗?
浏览 2提问于2018-06-14得票数 1
回答已采纳
1回答
如何保护ASP.NET Core Web API不被窃取用于模拟的JWT令牌
angularjs、asp.net-core、mobile、asp.net-core-webapi、asp.net-core-security
我在IIS后的服务器上部署了一个ASP.NET核心REST API。Angular JS Web应用和移动(Android/IOS)应用使用REST API。对于授权,我使用JWT token()。最近通过安全审计,他们发现存储在本地存储中的JWT可以被来自同一组织的其他攻击者窃取并用于冒充(例如,员工使用Manager的功能)。我想把这个人或那台机器标记到那个J
浏览 29提问于2019-01-03得票数 0
回答已采纳
1回答
我是否遗漏了当前会话管理的任何漏洞?
xss、cookies、csrf、jwt、spring-framework
我正在用Spring构建一个站点,它需要身份验证才能访问某些页面。该站点实际上由一个呈现视图和处理数据绑定的客户端主机和一个REST主机(也是用Spring构建的)组成,它的责任是返回/操作数据、验证/生成用户令牌等。我决定在REST端实现自定义身份验证,在接收到有效的用户名和密码后,它将返回:
由REST用AES-256签名的JWT,有效载荷将包含用户id和到期日期。JWT存储
浏览 0提问于2017-03-28得票数 2
回答已采纳
2回答
Android -> PHP会话管理
php、android、api、authentication、sessionid
我有一个用PHP编写的Android应用程序,它可以与我的服务器交互。我已经做了几个请求,将通过POST从android应用程序调用,并将以JSON格式应答。对于需要用户身份验证的其他请求,将需要session_ID。如果未设置session_ID,我将假定用户未登录。否则,如果session_ID存在,我将用请求的数据应答请求if(!echo json_encode($json);
retu
浏览 17提问于2016-08-31得票数 3
3回答
NodeJS:客户端在哪里存储JWT?sessionStorage,localStorage还是cookies?
angularjs、node.js、authentication、cookies、jwt
使用NodeJS和(例如) AngularJS在SPA上存储用于身份验证的JSON令牌的最佳位置是什么?到目前为止我得到的是:
网络存储(localStorage/sessionStorage)可以通过同一域中的JavaScript这意味着在您的站点上运行的
浏览 7提问于2015-06-16得票数 8
1回答
在会话期间使用提供程序存储JWT安全吗?
flutter、security、jwt、flutter-provider
我现在正在使用来存储用于身份验证的JWT,但是由于我使用作为状态管理,我的问题是,在提供者中保存JWT是否也是安全的。或者,与每次向服务器发出请求时从安全存储中检索它相比,安全性更低吗?
浏览 5提问于2020-11-26得票数 0
回答已采纳
1回答
我的web前端JWT身份验证过程是否可以防止安全漏洞?
security、authentication、jwt、xss
基本上:
通过报头发送XSRF令牌验证检索到的XSRF
浏览 8提问于2022-04-19得票数 1
3回答
Redux是存储JWT令牌的安全位置吗?
html、cookies、redux
我一直在自学Redux,想知道在Redux状态下存储JWT令牌有多安全。 } } return state然后,您可以通过以下方式存储令牌this.props.dispatch(loginAction.setToken(jsonReponse.tok
浏览 5提问于2017-05-25得票数 14
回答已采纳
1回答
安全-本地存储与烹饪
reactjs、jwt、local-storage、jwt-auth
你好,我有一个react应用程序,它使用JWT进行身份验证。我们将这个JWT存储在本地存储中,但是我们团队中的安全性告诉我们,它是不安全的,因为这个令牌可以通过Javascript访问。因为它不安全。但对我来说,cookie也可以在js中访问,所以我看不出重点所在。
您知道为什么cookie存储</em
浏览 1提问于2019-09-09得票数 2
回答已采纳
2回答
在JWT中存储自定义用户角色,以便用于React?
reactjs、jwt
最近,我正在构建一个纯粹的React作为我的前端,.NET核心作为我的后端,ADFS4.0作为我的intranet auth服务器,我的用户角色被安全地存储在OracleDB中。2) React应用程序将使用Bearer令牌调用我的核心后端;后端将处理JWT并检查ADFS
3)在经过身份验证后,用户角色将从数据库中检索。4)角色
浏览 2提问于2020-03-10得票数 0
3回答
ASP MVC 3:有没有办法让会话中的对象在用户离开视图后过期?
asp.net-mvc
在ASP MVC中的一个视图中,我需要存储视图接收到的原始对象,并将其与其修改后的版本进行比较(这是修改视图中的原始对象后的结果)。我的问题是,由于原始对象没有绑定到视图(因为没有原因,我必须为此创建许多隐藏字段),因此它会丢失,除非我将其存储在会话中。然而,这可能会导致另一个问题,因为如果用户通过导航菜单离开
浏览 4提问于2011-06-22得票数 0
1回答
NodeJS JWT存储困境
node.js、jwt
在localStorage中存储JWT安全吗?问题是,我尝试在httpOnly设置为true的情况下将JWT存储在NodeJS中的cookie中。但问题是,我无法使用通用cookie访问reactJS中的cookie。httpOnly设置为true的nodeJS生成的cook
浏览 15提问于2020-11-23得票数 2
回答已采纳
2回答
角2+角色权限
angular、user-permissions
到目前为止,我已经解决了JWT和路由保护问题,以防止未登录的人查看受保护的资源。
当用户导航到页面时,动态检查页面上的权限
浏览 0提问于2018-09-21得票数 0
回答已采纳
2回答
在Rails中连接到API时JWT的存储位置
ruby-on-rails、jwt
我的问题是,API要求您在请求时发送JWT身份验证令牌。因此,我发出了这个额外的身份验证请求,以获取JWT,然后将该JWT与我正在进行的其他API调用一起发送。API建议保存初始JWT,这样我就不必为JWT发出额外的身份验证请求。他们建议将其保存一段时间,并在此之后刷新并获得新的JWT。令牌的有效期为25小时,因此他们建议<em
浏览 52提问于2018-09-11得票数 3
回答已采纳
2回答
在哪里发送JWT令牌?
javascript、node.js、reactjs、express、jwt
我使用JWT进行用户登录/注册,我有一个关于发送/接收令牌的问题。这可以吗,还是应该将令牌作为请求/响应中</em
浏览 5提问于2017-12-28得票数 0
回答已采纳
1回答
在本机平台上验证jwt
ios、swift、encryption、oauth-2.0、signing
通过阅读诸如之类的文档,我已经确定使用的正确流程是“授权码”流程,即使我们拥有应用程序、身份验证服务器和资源。我还了解到,我们需要使用安全的浏览器,如SFSafariViewController,我们需要使用PKCE,并记住在请求中使用“状态”键,并在返回时进行验证。为了验证jwt</e
浏览 0提问于2017-10-24得票数 4
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
