我有一个MERN应用程序,在那里我使用passport创建/验证用户,并通过将哈希JWT令牌存储在HttpOnly安全cookie中来保持身份验证状态。唯一的问题是,如果我在Chrome中登录用户A,并将cookie复制到其他浏览器(如Edge(,则令牌对后端有效,并且用户似乎已登录Edge浏览器。
既然我正在尝试实现一个csrf令牌,那么验证应该会失败吧?实现这种类型的身份验证的最佳实践是什么?
默认情况下会出现这种行为。为了防止CSRF,请使用SameSite=lax cookie属性和/或反CSRF令牌
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium