क्लाइंटसाइड पर जेडब्ल्यूटी को स्टोर करने के लिए सबसे अच्छी जगह क्या है, इस बारे में चर्चा करने के आसपास बहुत से लेख हैं। संक्षेप में, वे सब के बारे में कर रहे हैं -jwt प्रमाणीकरण: कुकी बनाम हेडर
Http-केवल सुरक्षित कुकी - कोई XSS, लेकिन XSRF को vulnarable
हैडर (स्थानीय भंडारण या डोम में बचाया) - कोई XSRF, लेकिन करने के लिए vulnarable XSS
मुझे लगता है मैं यह करने के लिए एक बहुत ही सामान्य बुद्धि समाधान के साथ आते हैं, लेकिन, के बाद से मैं पूरा noob सुरक्षा में मुझे यकीन है कि अगर यह वास्तव में सामान्य बुद्धि या मूर्ख है नहीं कर रहा हूँ कर रहा हूँ।
तो, क्या होगा यदि जेडब्ल्यूटी को विभाजित करें और कुकी में इसका हिस्सा बचाएं और हेडर में किसी अन्य भाग को बचाएं? क्या यह अटूट होगा? , हैडर भाग को हटाने में ब्राउज़र प्रवेश करने में असमर्थ होगा
सादर यूजीन -
यह भी हल करना चाहिए 'लॉगआउट' समस्या।।
लेकिन एक्सएसआरएफ के खिलाफ सुरक्षा के लिए अतिरिक्त कुकी का मतलब सर्वर साइड सत्र बनाए रखना है, है ना? यदि ऐसा है, तो जेडब्ल्यूटी को एक साथ वापस ग्लूइंग करना बहुत आसान और अधिक हल्का है। और फिर, यदि स्थानीय भंडारण में संग्रहीत जेडब्ल्यूटी का केवल कुछ हिस्सा है, तो क्या यह किसी हमलावर के लिए कोई मूल्य हो सकता है? – user656449