我正在将来自google oauth2的访问令牌存储在本地存储中。现在,问题是,这是一个安全问题。其他人可以从我的浏览器复制本地存储值并输入 URL 以访问我的帐户。我们如何解决这个问题,因为访问令牌通常仅存储在本地或会话存储中。我们可以在 60 分钟后注销,如下所示:
this.expiresTimerId = setTimeout(() => {
console.log('Session has expired');
this.doLogout(440);
}, 3600);
但是,该漏洞存在 60 分钟,这可能会导致安全漏洞。如何避免这种情况??
我不知道
有什么简单的方法来保护访问令牌免受"其他人来到我的计算机并滥用我的打开会话"攻击(访问令牌用于绑定到客户端 IP 地址(。
您可以通过使用 sessionStorage 而不是 localStorage 来改善这种情况 - 当浏览器选项卡关闭时,它会删除其值。
为了防止攻击者造成任何伤害,所有执行数据更改或显示敏感数据的操作都必须以与网上银行系统类似的方式重新进行身份验证。