传统解决方案：HttpOnly Cookie 的利与弊

• 为解决 XSS 盗取 Token 的问题，社区提出了经典方案：使用 HttpOnly Cookie。

• 当服务器设置 Cookie 时添加 HttpOnly 标志，该 Cookie 将无法通过客户端 JavaScript 访问，浏览器只会在发送 HTTP 请求时自动携带它。

优势

• 有效防御 XSS 盗取：JavaScript 无法读取，XSS 攻击者无法直接窃取 Token

• 浏览器自动管理：无需前端代码手动在每个请求头中添加 Authorization

挑战：CSRF 攻击

• HttpOnly Cookie 带来了新的安全挑战——CSRF 攻击。

• CSRF 攻击指攻击者诱导已登录用户从恶意网站发起非本意的请求。例如，用户登录了 bank.com 后访问 evil.com，该网站上的自动提交表单会向 bank.com 的转账接口发起请求，浏览器自动携带 Cookie 完成转账。

解决方案

• SameSite 属性：将 Cookie 的 SameSite 属性设置为 Strict 或 Lax，有效阻止跨站请求携带 Cookie

• CSRF Token：服务器生成随机 CSRF Token，前端在状态变更请求中携带，服务器进行验证

• HttpOnly Cookie 方案虽然可行，但要求后端进行精细的 Cookie 配置和 CSRF 防御，对于现代前后端分离、特别是跨域调用场景，配置复杂度较高。

2025 年前端鉴权新思路

有没有既能有效防范 XSS，又能优雅适应现代前端架构的方案？以下是两种值得在 2025 年及以后重点关注的鉴权模式。

方案一：BFF + Cookie 模式

BFF 模式在前端应用和后端微服务之间增加"服务于前端的后端"层，专门负责鉴权、API 聚合和数据转换。

鉴权流程

• 登录：前端将用户名密码发送给 BFF

• 认证与换取：BFF 将凭证发送给认证服务，获取 JWT

• 设置安全 Cookie：BFF 创建会话，将 Session ID 存储在安全的 HttpOnly、SameSite=Strict Cookie 中返回给浏览器

• API 请求：前端向 BFF 发起所有 API 请求，浏览器自动携带 Session Cookie

• 代理与鉴权：BFF 通过 Session Cookie 找到对应会话和 JWT，将 JWT 添加到请求头中转发给后端微服务

优势

• 极致安全：JWT 完全不暴露给前端，XSS 攻击者无从窃取

• 前端无感：前端开发者无需关心 Token 的存储、刷新和携带

• 架构清晰：BFF 层处理所有安全和服务通信复杂逻辑，前端专注 UI

缺点

• ​增加了架构复杂度，需要额外维护 BFF 服务

方案二：Service Worker + 内存存储

这是更"激进"的纯前端方案，利用 Service Worker 的强大能力。

鉴权流程

1. 登录：主线程登录成功后，通过 postMessage 将 JWT 发送给激活的 Service Worker

2. 内存存储：Service Worker 将 Token 存储在自身作用域内的变量中（内存中），不使用 localStorage 或 IndexedDB

3. 拦截请求：前端应用发起 API 请求，但不添加 Authorization 头

4. 注入 Token：Service Worker 监听 fetch 事件，拦截所有出站 API 请求，克隆原始请求并将内存中的 Token 添加到新请求的 Authorization 头中

5. 发送请求：Service Worker 将带有 Token 的新请求发送到网络

优势

• 有效隔离：Token 存储在 Service Worker 的独立运行环境中，与主线程的 window 对象隔离，常规 XSS 脚本无法访问

• 逻辑集中：Token 刷新逻辑可封装在 Service Worker 中，对应用代码完全透明

• 无需额外服务：相比 BFF，这是纯前端解决方案

缺点

• ​实现复杂，Service Worker 的生命周期和通信机制比 localStorage 复杂得多

• 需考虑浏览器兼容性及 Service Worker 被意外终止或更新的场景

方案对比