2. 질의 응답
  3. JSON 웹 토큰을 쉽게 도난 당할 수 없습니까?

JSON 웹 토큰을 쉽게 도난 당할 수 없습니까?

2017-11-07 12 views
0

나는 JWT를 대한 책을 읽은 그리고 난 정말 해결 될 것 같지 않습니다 뭔가 혼동하고 있습니다 :JSON 웹 토큰을 쉽게 도난 당할 수 없습니까?

단지 자신의 코드에 

localStorage.get ('secretjwt')

을 포함하고 훔치는 악성 웹 사이트를 중지 무엇

너 토큰?

쿠키로 저장하지 않으면 누구나 액세스 할 수 있습니다! 쿠키가 쿠키로 저장되어 있다면 쿠키를 전부 사용하지 않는 이유는 무엇입니까?

출처

2017-11-07 CodyBugstein

답변

2

쿠키와 로컬 스토리지가 same-origin 정책 컴퓨팅에서

에 의해 보호되고, 동일 출처 정책은 웹 응용 프로그램의 보안 모델에서 중요한 개념이다. 정책에 따라 웹 브라우저는 첫 번째 웹 페이지에 포함 된 스크립트가 두 번째 웹 페이지의 데이터에 액세스 할 수 있도록 허용하지만 두 웹 페이지가 동일한 출처를 갖는 경우에만 허용됩니다. 예를 http://www.malicious.com 또는 http://www.example.com를 들어

이 Additionaly 사이트가

출처

2017-11-07 06:55:05 pedrofb

+1

를 도난 토큰을 내용을 암호화하고 방지하기 위해 SSL/TLS를 사용한다 https://www.example.com

에서 스토리지에 액세스 할 수 없습니다 말했다 데, 하나를 그 단일 XSS를 사용하여 localStorage (또는 sessionStorage 또는 websql 또는 이와 유사한 모든 서버)에서 토큰을 얻는 대신 httpOnly 쿠키를 사용할 수 있습니다.이 경우에는 그렇지 않습니다. –

 관련 문제

  • 관련 문제 없음^_^