웹 클라이언트에서 REST API로 사용되며 향후 모바일 클라이언트가 될 수있는 익스프레스 앱을 개발 중입니다. 두 클라이언트 모두 Oauth 2.0 토큰 인증을 사용하고 있습니다. 이것은 CSRF에 대한 많은 보안을 제공합니다. 내가 알고 싶습니다 XSS에 대한 보안을 제공하는 방법.익스프레스 앱에서 XSS 보호
* 클라이언트가 refresh_tokens 및 access_tokens에 대한 다른 클라이언트 세부 정보를 요청할 필요가있는 토큰 유효 기간을 매우 적게 만들었습니다. 이것은 조금 안전하지만 전적으로 * 아닙니다.
client_id와 client_secret은 프론트 엔드 자바 스크립트 코드로 현재으로 도용되어 다른 클라이언트가 유효성을 검사하는 데 사용 중이므로 걱정됩니다. 클라이언트 인증에 대해 JWT를 사용하려고 생각합니다. 도움이 될까요?
데이터 Sanitisation은 내가 혼란스러워하는 또 하나입니다. 정규식 검증을 제공하는 validator, express-validator과 같은 모듈이 있습니다. 이에 따르면 blog post JSON 스키마 검증이 빠릅니다. REST에서 Api JSON이 데이터 교환에 사용되므로 왜 tv4 또는 다른 JSON 스키마 검사기와 같은 모듈을 데이터 유효성 검사에 사용할 수 없습니까? 나는 무엇을 사용할 지에 대한 제안을 요구하고 있지 않다. XSS 보호 및 sanitisation 관점에서 특별히 제공되는 유효성 확인의 종류에있어서 기본 차이점을 알고 싶다..
클라이언트 보안을 브라우저에 노출하는 이유가 무엇입니까? 서버에만 보관해야합니다. – Erlend
서버에만 보관되는 경우 .... 클라이언트가이 클라이언트가 상호 작용할 수 있는지 여부를 확인하기 위해 서버가 서버에 서버를 어떻게 보냅니 까? –
클라이언트 비밀번호가 OAuth 클라이언트 비밀번호 인 경우 사이트에 액세스하는 모든 사용자가 해당 비밀번호를 훔칠 수 있습니다. 그게 니가 원하는거야? – Erlend