我目前正在做一个项目,我尝试使用Json Web Token实现一个登录系统。我的知识基本上是通过一些教程和文档组合在一起的。它基本上是一个MERN应用程序。到目前为止,后台的身份验证工作得很好。我的问题是,我如何在前端判断用户是否登录,并基于此来显示配置文件按钮,而不是登录/注册按钮。我知道令牌必须存储在cookie或本地存储中。但我被告知这是非常不安全的,因为这两个存储可以通过跨站点脚本访问。现在我完全被它卡住了。我希望你们中的一些专家能在这方面帮助我。我的前端是一个带有"/login“或"/register”操作的普通表单,im使用React.js。我的后端是这样的:
我的问题是,<%:%>是更好地防御XSS,还是像使用Microsoft Anti XSS库一样好?微软的一位安全人员曾告诉我,永远不要只使用HTML编码,因为它不能很好地保护我,我应该总是使用Anti XSS库(或其他库)。对于<%:%>,这是否仍然正确?或者,我是否可以像人们所说的那样自信地使用<%:%>来保护我的应用程序免受XSS的攻击?
No proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSSNo proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSS