クッキーを使用せずにシングルページアプリケーションでCSRFおよびXSS攻撃を処理する方法

Question

シングルページアプリケーションスタイル（キャッシュをロードするためのcfmanifest）であるモバイルWebサイトを使用していますが、フォームにあるように、いくつかの機密データを提出するが、このフォームは動的に提出する前に、フロントエンドで生成され、の世話をする方法CSRF（クロスサイトリクエストフォージェリ）& XSS（クロスサイトスクリプティング ）そのような場合の攻撃？ （クッキーの使用は許可されていません）。

アプリケーションでは、Jquery + RequireJs + BackboneJs + Handlebarテンプレートが使用されます。

Answer 1

クッキーが許可されていない場合は、フォームがロードされる前にセッションを使用してみてください。ランダムな文字列またはハッシュトークンをサーバーに保存する必要があります。隠されたトークンがセッショントークンと一致するかどうかをサーバがチェックするときに、隠しトークンとしてフォームに渡さなければなりません。