如何在不使用cookie的情况下处理单页应用程序中的CSRF和XSS攻击

Question

我们有一个移动网站，它是一个单一的页面应用程序样式(cf舱单用于加载缓存)，但是在登录后5至10页导航用户必须提交一些机密数据才能以一种形式出现，但此表单是在提交之前在前端动态生成的，在这种情况下，如何处理CSRF(Cross-Site请求伪造)& XSS(Cross-Site脚本攻击？(不允许使用cookie)。

我们的应用程序使用Jquery+RequireJs+BackboneJs+Handlebar模板。

Answer 1

如果不允许使用cookie尝试使用会话..。在加载表单之前。某些随机字符串或散列令牌必须存储在服务器中。然后，令牌必须作为隐藏的形式传递给表单。当提交..。服务器检查隐藏令牌是否与会话令牌匹配。