ReactJS を使用した localStorage への JWT ストレージ: 安全性に関する考慮事項
ReactJS を使用して JWT を localStorage に保存する方法を検討する場合、比較検討することが重要です。潜在的なセキュリティへの影響。 React はユーザー入力を効果的に回避しますが、この対策だけでは XSS 脆弱性に対する完全な保護を保証するものではありません。
最新の SPA では、クライアント側でトークンを保管する必要があり、通常は Web ストレージまたは Cookie に保管されます。ただし、どちらのオプションにも固有のセキュリティ リスクが伴います。
Web ストレージ (localStorage/sessionStorage) セキュリティ
Web ストレージに保存されたデータは、同じドメイン上で実行される JavaScript に公開されます。 XSS 攻撃の可能性が高まります。すべての信頼できないデータをエスケープする React の XSS に対する防御は、部分的な保護を提供します。しかし、CDN または外部インフラストラクチャでホストされている JavaScript を考慮すると、これは不十分です。
Tom Abbott は、そのようなスクリプトが Web ストレージを侵害し、すべてのサイト訪問者に攻撃者に JWT へのアクセスを許可する可能性があると正しく指摘しています。
結論
データ転送中に適用されるセキュリティ標準が欠如しているため、JWT の安全なストレージ メカニズムとして Web ストレージに依存すべきではありません。 Web ストレージを利用する実装では、潜在的なリスクを軽減するために、常に HTTPS 経由で JWT を送信することをお勧めします。
以上がReactJS を使用して JWT を localStorage に保存するのは安全ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。