Проблемы безопасности веб-приложений от XSS и CSRF

Я создаю сайт, используя django rest api и reactjs. Я совсем новичок в этом деле и уже прочитал несколько статей, а также вопросы здесь о различных проблемах безопасности с CSRF и XSS атаками.

В настоящее время мой дизайн включает заголовок аутентификации jwt bearer в дополнение к токену csrf, и оба они хранятся в cookies браузера. Однако jwt-токен должен быть установлен вручную в заголовках, а не автоматически браузером.

Является ли это лучшей практикой?
Можно ли исключить из проверки CSRF мой собственный внешний домен, так как он является доверенным?

Я понимаю, что аутентификация cookie является уязвимостью для CSRF, поэтому я поместил токен в заголовки. С другой стороны, я знаю, что XSS-атака может получить доступ и прочитать куки, поэтому я думаю, что это не лучший подход.

Вернуться на верх

Последние вопросы и ответы

Included App URLs not showing in DRF browsable API

How to architect the external evnets and Django models?

Не извлекаются переменные окружения при запущенном локальном сервере в проекте на django

Django with MSSQL Server – GUID Type is maped as char(32) not uniqueidentifier

Celery chord, execute code after callback

Django Serializer - `methodViewSet(viewsets.ViewSet)` is not displayed in url list

Twilio Return gathering after client press star

Show Data of Customer and License from database according to the click on dropdown list of financial year

SMTP Error in Django on Production using Railway [closed]

Django view is rendering 404 page instead of given html template

Проблемы безопасности веб-приложений от XSS и CSRF

Последние вопросы и ответы

Рекомендуемые записи по теме