如何在内存中存储JWT不受XSS攻击？

Posted 2021-04-27

我正在关注此tutorial on JWT using GraphQL。

在该教程中，

如何将其保存在Cookie中？

在客户端上创建cookie以保存JWT也会很容易 XSS。如果可以从客户端之外的javascript上读取它 应用-它可能被盗。您可能会认为HttpOnly cookie（由 服务器而不是客户端）会有所帮助，但cookie是 容易受到CSRF攻击。重要的是要注意HttpOnly和 明智的CORS政策无法阻止CSRF表单提交攻击， 使用Cookie需要适当的CSRF缓解策略。

因此，作者将JWT保存在内存中（变量）。

但是我在SO post上读到javascript可以读取其他变量。

XSS当攻击者可以在网站上运行Javascript时发生。如果存在XSS漏洞，则攻击者可以读取/设置cookie，通过读取javascript变量将用户的详细信息传输到攻击者服务器。因此，如何将JWT保存在内存中比存储在本地存储或cookie中更安全？

我想念什么吗？ （可能是因为我已经搜索了此内容，但在互联网上却一无所获。）

答案

在内存中存储JWT仍然使它们容易受到XSS的攻击，但是这使得检索令牌更加困难。

假设您在代码中使用了恶意库。如果将令牌存储在localStorage中，则该库可能会将其中的所有内容都作哑处理并将其发送到其他地方。该攻击将在将令牌存储在localStorage中的任何网站上起作用。如果您将令牌存储在内存中，则攻击者需要专门针对您的应用程序，因为还需要其他实现细节。

我不建议在内存中存储令牌，而应使用HttpOnly cookie，它可以保护令牌免受XSS攻击。现在，您只需要担心CSRF，只需将cookie的SameSite属性设置为Lax即可在现代浏览器中实现，或者您还可以使用CSRF令牌。