所以我想知道,因为react转义HTML,并没有真正允许XSS时使用正常的输入/表单,它是安全的存储JWT,然后使用授权HTTP头发送它,还是将JWT存储在一个安全的/HTTPonly/SameSite cookie?
我很抱歉,如果这是一个新手问题,但我读过很多关于这个主题的文章,但没有一个明确回答了这个问题,我得到使用cookie对XSS更安全(仅使用HTTP标志),但更容易受到CSRF攻击(较少使用相同的esite标志),但由于我们正在使用react(不允许XSS)并在授权头(不允许CSRF)中发送它不会更安全吗?
主要是web存储是可以通过javascript访问的。由于这个原因,您的代码或某些依赖项可能包含会窃取令牌的安全漏洞。然而,老派的cookie允许你配置一个不能被javascript访问的数据(Http-Only))和只存储在安全连接上的数据(secure)) .