在過去的幾天里，我一直在閱讀有關 CSRF 的內容，感覺我已經很好地掌握了它是什么以及如何預防它。我正在構建一個小型 Express/React 應用程序，它將有一個用于更新應用程序內容的安全管理區域，并且我希望它能夠免受 CSRF 的影響。據我所知，服務器生成 CSRF 令牌然后將其與請求的視圖（頁面）一起發送到客戶端（然后可以將令牌隱藏在 HTML 表單輸入標記中）是很常見的。但是，我的 Express API 不提供 HTML 服務，它是一個僅返回 JSON 數據的 REST API。UI 是用 React 構建的，運行在與服務器不同的端口上。我的問題是；在哪里安全地存儲服務器上生成的令牌？例如，如果我通過點擊“/api/login”以管理員身份登錄，生成令牌，并在 API 響應中將其發送回客戶端，那么我現在應該如何處理它？最初的計劃是使用 Redux 來存儲 token，但是閱讀這篇文章Is Redux secure? ，這聽起來并不理想。我考慮過使用 React 環境變量，但也了解到這些變量在構建中公開。顯然 localStorage 也是一個壞主意......我真的很難使用我正在實現的工具（即 Express/React）找到這個問題的解決方案任何幫助、鏈接、建議、批評將不勝感激，我想學習構建考慮到安全性的應用程序