私のドメイン内のすべてのルートで動作するCSRF攻撃から保護するために、krakenjs/luscaを使用したエクスプレスアプリがあります。しかし、私はまた、任意のドメインからアプリケーションにPOSTするために使用できるようにしたいクロム拡張機能を持っています。私の研究から、私は私がトークンベースの認証を使用する必要があると考えているので、私は2つの質問がありますブラウザエクステンションからのCSRFトークン
- 私はどのように生成し、拡張子からの要求を認証するために アプリを許可する拡張子にそのトークンを送信する必要がありますか?
- どのようにしてそのトークンを拡張子で保存する必要がありますか?
サーバーがリクエストするAPIとローカルストレージに依存するトークンのストレージに関する懸念があることが判明しました(私の問題を解決するとは思わないが、ドメイン)。私は助けていただきありがとうございます!ありがとうございました。
ありがとう、私はそれを感謝します。 1つのこと - jwtを提供するサーバー側のルートを公開することに心配すべきですか? –