问题描述
我正在从事一个项目,该项目涉及使用React构建的SPA Web应用程序,并连接到运行Express的API。
我已经阅读了许多有关stackoverflow的文章和问题。 (特别是这个link的答案非常详细)。但是,有一点我无法理解。我搜索了问题,但找不到任何包含后端API端IP限制的答案。
我想将JWT发送给从SPA登录的授权用户,并将JWT存储在客户端的localstorage中。后端API仅可从SPA的IP地址访问,并且对其他任何IP均不开放。 CORS也将配置为仅与SPA域名一起使用。
因此,考虑到此配置,将JWT存储在本地存储中仍然不安全吗?由于该API仍然只能通过一个IP进行访问,因此攻击者在通过XSS攻击抓住它后如何使用访问令牌?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)