我正在开发一个项目,该项目涉及使用 React 构建的 SPA Web 应用程序,该应用程序连接到运行 Express 的 API。然而,有一点我无法理解。我搜索了一些问题,但找不到任何包含后端 API 端 IP 限制的答案。我想将 JWT 发送给从 SPA 登录的授权用户,并将 JWT 存储在客户端的本地存储中。后端 API 只能从 SPA 的 IP 地址访问,并且将对任何其他 IP 关闭。CORS 将配置为仅适用于 SPA 域名。那么考虑到这种配置,将 JWT 存储在 localstorage 中是否仍然不安全?由于该API仍然只能由一个IP访问,那么攻击者通过XSS攻击抢到access Token后如何使用呢?
1 回答
函数式编程
TA贡献1807条经验 获得超9个赞
为了访问服务器可以应用多种攻击:
IP欺骗
SSRF
ip验证漏洞,想想你需要检查ip的事实,ip有很多种形式,ipv4、ipv6、hex、oct等......
防火墙/反向代理漏洞
最佳实践旨在避免错误并遵循错误。
添加回答
举报
0/150
提交
取消