【发布时间】:2021-12-03 19:30:01
【问题描述】:
我们在 iFrame 中制作了一个 Chrome 扩展程序,以防止在访问 evil.com 时出现 XSS。扩展的目的是提供来自与被访问页面相关的 Web 服务的相关数据。该应用程序通过 MSAL 进行身份验证,并且当前将令牌存储在 sessionStorage 中。每个选项卡都需要自己的登录名,这是一种糟糕的体验,因此我们将使用 localStorage。我发现链接表明relative security 更适合 sessionStorage,尽管根本问题似乎是apply to both。实现我们的用例的最佳实践是什么,攻击面是什么?谢谢。
-- 10/22 编辑--
在下面添加图表以帮助澄清。 针对给定场景的具体问题是 MSAL.js:
【问题讨论】:
标签: local-storage xss msal msal.js