在过去的一周里,我读了很多关于如何构建安全认证架构的文章。根据我的阅读:
我正在运行一个使用在 node.js 服务器上生成的 JWT 进行身份验证的 React 应用程序(SPA,非服务器渲染)。我将 JWT 放在一个 httpOnly cookie 中,通过 https 安全,sameSite,JWT 和 cookie 的寿命都很短,并且我在我的服务器上配置了 cors,只允许我的前端域。我还在加载我的 React 应用程序时生成了一个 csrf 令牌服务器端 - 客户端调用一个端点,csrf 令牌在 json 中发送回,我用它设置了一个 X-CSRF-Token 标头。由于 cors 只允许我的域请求,并且我知道 CSRF 攻击来自另一个域,我知道我可以保护我的 CSRF 令牌端点。
在从 0 到 5 的范围内,0 表示绝对不安全,5 表示非常安全,我上面的架构对于防止 CSRF 攻击有多安全?如果少于 5 个,你会建议我多做些什么?谢谢,