iframe parent是否有访问基于cookie的子认证令牌?

2022-01-30 15:06:42 标签 securityiframejwt

我有一个需要登录验证的产品。我使用jwt,但将其存储在cookie中(我知道这可能是一个问题,一旦存在跨站漏洞)。

这个产品也被赋予了一些通过iframe嵌入它的“其他域”。

我很好奇在这种情况下是否有任何我没有想到的安全风险。

例如,父“其他域”是否有权访问我的认证令牌,因为我使用cookie存储我的JWT令牌?如果父结点有xss漏洞,那么这将自动暗示我也有漏洞?

# # # < blockquote >

我有一个需要登录验证的产品。我使用jwt,但存储在cookie(我知道,一旦有XSS漏洞,这可能是一个问题)

存储在Cookie并不是一个问题,现在通过使用一些标题sameSite和CSP更难利用XSS他们可以弹出警告框,但他们不能偷饼干虽然给你信心真的取决于你如何使用它编写一个功能。如果你使用的是框架(比如Jinja Vue angular ejs。。等等),攻击者注入代码的几率非常低。

这个产品也被赋予了一些通过iframe嵌入它的“其他域”

如果父域有XSS。那么可能iFrame也影响了XSS。他们可以看到内容,并把它发送到域名或有一个工具叫xsshunter。io你可以检查通过在开发服务器上测试IT。但如果你使用CSP和同站:Lax,那么这不是一个问题,将没有通信到外部域,而不是白名单域。

如果它是垂直特权从孩子到父母那么你有一个伟大的功能叫做沙箱在iframe。

(no value)  Applies all restrictions
allow-forms Allows form submission
allow-modals    Allows to open modal windows
allow-orientation-lock  Allows to lock the screen orientation
allow-pointer-lock  Allows to use the Pointer Lock API
allow-popups    Allows popups
allow-popups-to-escape-sandbox  Allows popups to open new windows without inheriting the sandboxing
allow-presentation  Allows to start a presentation session
allow-same-origin   Allows the iframe content to be treated as being from the same origin
allow-scripts   Allows to run scripts
allow-top-navigation    Allows the iframe content to navigate its top-level browsing context
allow-top-navigation-by-user-activation Allows the iframe content to navigate its top-level browsing context, but only if initiated by the user

在header中使用JWT是一个很好的实践,但是在cookie中使用它是没有问题的,但是在header中使用JWT是更安全的。

希望这对你有帮助!

阅读全文

▼ 版权说明

相关文章也很精彩
推荐内容
更多标签
相关热门
全站排行
随便看看

错说 cuoshuo.com —— 程序员的报错记录

部分内容根据CC版权协议转载;网站内容仅供参考,生产环境使用务必查阅官方文档

辽ICP备19011660号-5

×

扫码关注公众号:职场神器
发送: 1
获取永久解锁本站全部文章的验证码