如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
How to take care of CSRF & XSS attacks in Single page applications without using cookies
我们有一个移动网站,它是单页应用程序风格(加载缓存的cfmanifest),但在5到10页导航后登录后,用户必须以表单的形式向BE提交一些机密数据,但此表单在提交前在前端动态生成,如何处理CSRF(跨站点请求伪造)&XSS(跨站点脚本)攻击?(不允许使用cookie)。
我们的应用程序使用Jquery+RequireJs+BackboneJs+Handlebar模板。
如果不允许cookie,请尝试使用会话。。。在加载表单之前。。服务器中必须存储一些随机字符串或哈希令牌。则令牌必须以隐藏的形式传递给窗体。。提交时。。服务器检查隐藏的令牌是否与会话令牌匹配。
相关文章:
- 无法在基于Cordova的应用程序中读取Set Cookie标头
- 如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
- 在AngularJS中的另一个ng应用程序中使用来自一个ng程序的Cookie值
- 如何从浏览器中获取cookie,从另一个应用程序中删除
- 如何在没有缓存/cookie的情况下运行/调试Web应用程序项目
- 如何在同构应用程序中通过节点提取传递请求cookie
- Cookie未保存在sencha touch 2应用程序中
- 从Windows8JS应用程序获取仅HTTP cookie
- Node.js Express应用程序:如果存在cookie,则从服务器端向元素添加CSS类
- 如何检查cookie是否存在,即使它是在其他应用程序中创建的?(使用 JS 或 C#)
- 如何使用 ExtJS6 cookie 提供程序和状态管理登录表单.管理器 + OL3 用于网络制图应用程序
- 有关应用程序中的 Cookie 和会话 ASP.net 问题
- 在同构 Redux 应用程序中设置 cookie 的位置
- 如何在 Javascript 中将 prompt() 中的值分配给 asp.net 会话、Cookie、应用程序或任何将
- document.cookie在phonegap应用程序中为空
- HTML5 Web应用程序中OAuth2的本地存储与cookie
- 当我从FB.init中删除cookie时,Facebook网站应用程序处于无限循环中:true param
- 从其他网络应用程序获取Cookie
- 使用嵌入式javascript读取cookie到Shiny应用程序
- Windows应用商店应用程序和iFrame cookie