为什么JWT认证解决不了CSRF(跨站请求伪造)和XSS(跨站脚本攻击)问题

最新推荐文章于 2025-12-03 22:34:02 发布
原创 最新推荐文章于 2025-12-03 22:34:02 发布 · 874 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #xss #前端

JWT(JSON Web Token)是一种无状态的认证机制,通过在客户端存储令牌(通常保存在localStoragecookie中)来实现身份验证。虽然JWT简化了认证流程,但它并未直接解决CSRF(跨站请求伪造)和XSS(跨站脚本攻击)问题,原因如下:

1. JWT 未解决 CSRF 的原因

CSRF 的本质

CSRF攻击利用用户已登录的会话(如Cookie中的Session ID或JWT),诱导用户访问恶意网站,从而以用户身份执行非预期操作(如转账、修改密码)。

JWT 的局限性
  • 自动携带令牌:
    若JWT存储在HttpOnly以外的Cookie中,浏览器会自动在同源请求中附加令牌,攻击者可通过构造恶意请求伪造用户操作(与Session ID的CSRF风险相同)。
    • 示例:用户登录后,攻击者诱导其访问<img src="https://target-site.com/transfer?amount=1000">,若JWT在Cookie中自动发送,请求会被服务器验证通过。
  • HttpOnly Cookie的风险:
    若JWT存储在非HttpOnly的Cookie中,攻击者可通过XSS窃取令牌,进一步绕过CSRF防护(但这是XSS问题,非CSRF直接原因)。
JWT 无法替代 CSRF 防护措施
  • 需要额外防护:
    即使使用JWT,仍需通过以下方式防御CSRF:
    • SameSite Cookie属性:限制Cookie仅在同站请求中发送(SameSite=Strict/Lax)。
    • CSRF Token:在表单中添加随机Token,服务器验证其合法性。
    • 自定义请求头:要求请求携带特定头(如X-CSRF-Token),仅前端代码可添加。

2. JWT 未解决 XSS 的原因

XSS 的本质

XSS攻击通过注入恶意脚本到网页中,窃取用户数据(如JWT令牌)或执行操作。

JWT 的存储方式与 XSS 风险
  • localStorage存储的脆弱性:
    若JWT保存在localStorage中,前端代码需手动读取并附加到请求头(如Authorization: Bearer <token>)。此时:
    • XSS可窃取令牌:攻击者通过注入脚本(如<script>fetch('/steal?token=' + localStorage.getItem('jwt'))</script>)直接获取令牌,冒充用户身份。
    • HttpOnly保护:与HttpOnly Cookie不同,localStorage中的数据可被脚本任意读取。
  • Cookie存储的HttpOnly限制:
    若JWT存储在HttpOnly Cookie中,可防止XSS窃取令牌,但需配合CSRF防护措施(如SameSite属性)。然而,JWT本身不强制要求使用HttpOnly Cookie,开发者可能选择更不安全的存储方式。
JWT 无法消除 XSS 的根本原因
  • XSS防护依赖输入过滤和CSP:
    JWT仅是认证令牌,其安全性取决于存储方式和传输过程。防御XSS需:
    • 输入过滤:对用户输入进行转义或过滤。
    • CSP(内容安全策略):限制脚本执行来源。
    • 避免内联脚本:减少攻击面。

3. JWT 与传统 Session 的安全对比

安全特性JWT传统Session(Cookie+Server存储)
CSRF防护需额外措施(SameSite/CSRF Token)需额外措施(SameSite/CSRF Token)
XSS风险高(localStorage易窃取)低(HttpOnly Cookie较安全)
会话固定攻击需显式轮换令牌服务器可强制失效Session ID
无状态性优势减少服务器存储开销需维护Session存储

4. 最佳实践:结合 JWT 与安全措施

  1. 防御CSRF:
    • 使用SameSite=Strict/Lax Cookie存储JWT(若必须用Cookie)。
    • 或结合CSRF Token(如双提交Cookie模式)。
  2. 防御XSS:
    • 避免将JWT存储在localStorage中,优先使用HttpOnly+Secure Cookie。
    • 实施严格的CSP策略,禁止内联脚本。
  3. 其他建议:
    • 短有效期+刷新令牌机制。
    • 敏感操作需二次验证(如短信、邮箱确认)。

总结

JWT本身是一种认证协议,不涉及CSRF或XSS的防御机制。其安全性取决于:

  • 存储方式(HttpOnly Cookie更安全)。
  • 传输过程(是否使用HTTPS)。
  • 配套措施(CSRF防护、XSS过滤、CSP等)。

关键结论:JWT需与其他安全手段结合使用,才能有效抵御CSRF和XSS攻击。

如何防止跨站脚本攻击XSS跨站请求伪造CSRF)等安全漏洞?
m0_47946173的博客
01-19 1226
防止跨站脚本攻击XSS跨站请求伪造CSRF)等安全漏洞需要采取一系列措施,以下是一些建议:
常见Web安全问题及解决方案(XSS、SQL注入、CSRF攻击、Session劫持)
m0_56344834的博客
11-03 1980
​无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 常见相应的防御策略,如输入消毒、表单Token、Cookie、参数绑定等。此外,还应注意网站安全漏洞扫描信息加密技术,以及网站安全防护中预防及时更新防护措施的重要性。
JWT应该保存在哪里?
码农小胖哥
10-11 6763
最近几年的项目我都用JWT作为身份验证令牌。我一直有一个疑问:服务端发放给浏览器的JWT到底应该存储在哪里?这里只讨论浏览器的场景,在这个场景里有三种选择。Cookie服务端可以将JWT令...
CSRF跨站请求伪造原理、过程、防御方案
qq_37432174的博客
11-23 2687
3.即便黑客无法篡改 Referer 值,因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,因此用户自己可以设置浏览器使其在发送请求时不再提供Referer。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法同样的密钥,对数据再进行一次签名,客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
CSRF跨站请求伪造
星之空
06-14 282
文章目录Cross-Site Request ForgeryCSRF攻击场景CSRF请求伪造GETPOSTXMLHttpRequestCSRF防守策略验证码Anti CSRF TokenJSON Web Token参考 Cross-Site Request Forgery CSRF,Cross-Site Request Forgery,跨站请求伪造,也被称为: XSRF, One-Click at...
网络安全-跨站请求伪造CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
CSRF跨站请求伪造原理及解决方案 JsonWebToken使用方法
蒲公英芽的博客
03-29 2561
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,跟XSS跨站脚本攻击一样,存在巨大的危害性。可以这样来理解 : 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来讲,这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,而且你自己还不知道究竟是哪些操作。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币...
.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理
LoveyourselfJiuhao的博客
01-09 498
通过 ASP.NET Core,开发者可轻松配置管理其应用的安全性。 ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。 通过这些安全功能,可以生成安全可靠的 ASP.NET Core 应用。而我们这一章就来说道说道如何在ASP.NET Core中处理“跨站请求伪造(XSRF/CSRF)攻击”的,希望对大家有所...
跨站脚本攻击csrf跨站请求伪造
07-06 130
给予token的验证机制:(是将加密存储到浏览器之上的.)  用户使用用户名密码来请求服务器  服务器进行验证用户的信息  服务器通过验证发送给用户一个token  客户端存储token,并在每次请求时附送上这个token值  服务端验证token值,并返回数据给予session的验证机制(是存储到服务器(内存)之上的)  我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传...
CSRF Token防御跨站请求伪造漏洞
weixin_42298164的博客
11-21 251
跨站请求伪造CSRF)攻击可悄无声息地盗用用户身份执行恶意操作。CSRF Token通过动态验证机制,有效阻止此类攻击,是Web应用不可或缺的安全防线。
TokenBasedUnsafe: 展示JWTXSSCSRF攻击的实战演练平台
资源摘要信息:"TokenBasedUnsafe是一个用以展示XSS跨站脚本攻击CSRF跨站请求伪造)安全漏洞的网站。该网站使用JSON Web令牌(JWT)来实现基于令牌的用户身份验证机制,这种机制在现代Web应用程序中广泛使用...
CSRF攻击与XSS攻击,怎么防御 @by_TWJ
u010101252的博客
03-29 741
CSRFXSS的区别,还有怎么防御。
828华为云征文|华为云Flexus X实例全面杜绝DDoS、XSSCSRF与SQL注入攻击,为企业部署无懈可击的跨境电商独立站
withkai44的博客
09-09 1581
大家好啊,今天给大家带来讲解怎么使用华为云Flexus X服务器来安装部署自己的跨境电商外贸商城系统给大家分享一下华为云Flexus X服务器安全性的强大之处。部署方式还是很容易的。感兴趣的朋友可以自行学习使用。
API 使用 Bearer Token 为什么可天然防 CSRF
bsklhao的博客
12-01 481
Bearer Token 能天然防御 CSRF,是因为它不依赖浏览器自动携带机制,而是由前端主动、显式地附加到请求中。攻击者无法在跨站请求中注入有效的 Token,因此无法伪造用户身份操作。这正是现代无状态 API(如 RESTful API)普遍采用 Token 认证而非传统 Cookie + Session 的重要安全优势之一。
DVWA-XSS(DOM)
m0_74303175的博客
11-30 892
DOM 型 XSS(DOM-Based Cross-Site Scripting)是跨站脚本攻击的一种特殊类型,与传统的存储型 XSS、反射型 XSS 不同,它完全发生在客户端(浏览器),服务端不会参与恶意代码的解析返回,而是通过篡改浏览器的 DOM(文档对象模型)结构,执行注入的恶意脚本。
网络安全中级阶段学习笔记(三):XSS 漏洞学习笔记(原理、分类、利用与防御、POC大全)
最新发布
2501_91976946的博客
12-03 585
本文系统介绍了XSS漏洞的基础知识、分类、挖掘利用及防御方案。内容涵盖XSS核心定义、反射型/存储型/DOM型三大分类及其攻击流程,详细解析了漏洞挖掘步骤、常见POC测试代码绕过技巧。同时提供了全面的防御体系,包括输入输出验证、CSP策略等核心防护手段。特别强调所有技术仅限授权测试环境使用,未经授权入侵属违法行为。文中还整理了XSS漏洞测试POC大全,分类展示不同场景下的验证代码及绕过方案,并提醒测试需注意隐蔽性、兼容性等实战要点,遵守合法合规原则。
DVWA-XSS(stored)
m0_74303175的博客
12-03 215
XSS 中危害最高的类型,核心特点是,所有访问包含该恶意代码页面的用户都会自动触发攻击,无需用户主动点击恶意链接。
深入解析 XSS 漏洞:原理、分类与攻防实战
-曾牛的博客
12-02 882
本文深入解析XSS漏洞的原理、分类与攻防策略。XSS跨站脚本攻击)通过注入恶意JavaScript代码,利用Web应用对用户输入的信任缺陷实施攻击。文章详细介绍了XSS的核心概念、触发条件及危害,包括窃取Cookie、获取客户端信息等。重点分析了三种XSS类型:反射型(通过URL参数传递)、DOM型(纯前端执行)存储型(服务器持久存储)。同时提供了漏洞检测方法防御建议,帮助开发者全面理解防范这一经典Web安全漏洞。
DVWA-XSS(Reflected)
m0_74303175的博客
12-01 598
反射型 XSS(反射型跨站脚本) 是 XSS 的常见类型之一,核心特点是恶意代码通过 URL 参数 / 表单提交等方式传入服务端,服务端未过滤直接返回给客户端,浏览器解析后执行脚本,属于 “非持久化” 攻击(恶意代码不会存储在服务端)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chen2017sheng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值