Атаки csrf и XSS в приложениях реагирования / редукции

Question

В моем приложении я прошу клиента сначала создать для себя токен и использовать этот токен в каждом запросе на доступ к ресурсам на сервере. Но это не мешает атаке csrf.

Так, каков наилучший способ предотвратить атаки CSRF и XSS в реактивных, избыточных приложениях?

Answer 1

XSS и CSRF - ооочень разные вещи, которые, я полагаю, вам не следует смешивать в одном вопросе.

XSS - это отображение пользовательского ввода без какой-либо дезинфекции на вашей стороне / в вашем html. И этот пользовательский ввод может содержать javascript, который крадет cookie или отправляет личное сообщение и т. Д. От имени текущего пользователя. Очевидно, чтобы предотвратить необходимость дезинфекции или сброса всего, что исходит от пользователя. Но React делает это для вас, пока вы не настолько рискованны, что используете dangerouslySetInnerHTML

Что касается CSRF и некоторого внешнего клиента - что вы имеете в виду "Но это не предотвращает атаку csrf"? Использует ли клиент токен аутентификации, и вы не проверяете его, чтобы кто-нибудь мог отправить запрос в ваш код, который обрабатывает это?

Answer 2

Один из вариантов - использовать библиотеку csurf для создания токенов xsrf для каждого запроса.

во-вторых: если вы публикуете только данные json через http, используя маркер аутентификации и не используете куки, CSRF невозможен.