关于前后端分离,后端对前端数据安全校验的疑问
问题描述:#
在传统的 web 应用中,用户的登陆态存 session,浏览器存放 cookie,会存在 csrf 攻击的安全漏洞,所以 laravel 的 web 请求路由有 csrf token 值用于防范攻击。
在前后端分离的 web 应用中,前端与后端之间往往用 token 校验用户的身份,这个 token 也存放于浏览器的 cookie 值中,可这时为何不考虑 token 泄露问题而导致的 csrf 攻击?(laravel 的请求路由此时是 api)
我发现现在前后端项目,好像大家都不对数据进行 sign 签名,这是为什么?
谢谢解惑!
补充:csrf 攻击,是用户在 A 网站登录后,访问 B 网站,在 B 网站上诱导用户再次去请求 A 网站的 url,比如在 A 网站上的转账操作。而我上面说 token 泄露导致的 csrf 攻击,本意也是 B 网站再次诱导你去访问 A 网站,你是否能直接访问到转账的 API,如果能,那这个安全性如何保障?如果不能访问,那则无此顾虑。谢谢
推荐文章: