在工作中,我们有一个Nuxt.js应用程序,并且有一些关于bug赏金报告的讨论指出,您可以从window.__NUXT__访问Vue实例。
我没有发现任何与此相关的帖子或文章,所以我想知道这是否真的是一个漏洞。你觉得怎么样?有没有一种方法可以让第三方访问用户的window.__NUXT__?
主要关注的是,您可以通过window.__NUXT__.state.auth...访问Vuex状态(以及存储在其中的api令牌(
正如我在这里的另一个答案中所解释的那样:https://stackoverflow.com/a/69945576/8816585
前端在设计上并不安全,因为所有东西都暴露在最终用户面前。他真的可以打开他的开发工具,检查所有的东西。
这本身就是个问题吗?否。
如果第三方使用它访问某些数据,会有风险吗?是的,基本上和你在package.json中使用的任何软件包一样。风险不会更大。
那么,你应该在前端存储一些私人代币吗?可能不会
如果使用JWT或类似的解决方案,是的,您完全可以拥有面向公众的代币。因为这些是经常刷新的,并且与任何其他公钥一样无害(如SSH中(。
令牌不需要是私有的,对于这些令牌,只有服务器端解决方案是可行的(例如条纹安全令牌(。