요즘에는 프론트 엔드 프로젝트에 제 3 자 JS 의존성을 포함시키는 것이 일반적입니다. 일부 ReactJS 구성 요소.내 HTML에 포함 된 JavaScript 라이브러리에서 내 쿠키 세션을 사용하여 내 사이트에 요청할 수 있습니까?
다른 AJAX 호출을 통해 내 계정을 삭제하기 위해 다른 종속성에 번들되어 있고 내 서버가 제공하는 악성 코드를 막을 수있는 것이 있습니까?
fetch("https://example.com/account", {
method: 'DELETE'
});
만약 그렇다면 쿠키를 전혀 사용하지 않아야합니까?
이것은 백엔드와 프론트 엔드 모두에서 모든 오픈 소스 라이브러리에 대한 일반적인 문제입니다.
공격자가 프론트 엔드에 악성 코드를 추가 할 수있는 경우 공격자는 코드에서 수행 할 수있는 모든 작업을 수행 할 수 있습니다. 그래서 쿠키 또는 jwt 또는 다른 인증 메커니즘은별로 중요하지 않습니다. 공격자가 백 채널을 추가하고 제어 할 수 있습니다. (http://beefproject.com/)
백엔드에서 백 코드를 사용하면 서버를 손상 시키거나 모든 데이터베이스 내용을 훔칠 수 있습니다.
이 점을 염두에두고 올바른 라이브러리를 사용하고 있는지 확인하고 일부 사항을 확인해야합니다. 사람들은 npm에서 일반적인 자바 스크립트 라이브러리의 백도어 버전을 게시하고 있습니다. 예 : https://www.theregister.co.uk/2017/08/02/typosquatting_npm/