腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
我
是否
可以
将
JWT
用作
反
CSRF
令牌
security
、
jwt
、
csrf
、
csrf-token
我
想看看我
是否
可以
完成阻止
CSRF
,同时不必在服务器上的redis的用户会话中存储任何额外的信息。在请求表单删除帐户时,
我
是否
可以
使用随机字符串(uuid4)和带有过期时间的secret对
JWT
令牌
进行签名,并将结果发送给客户端。当表单提交时,
我
将
验证
JWT
。如下所示: const tokenToSend =
jwt
.sign(uuid4(), SECRET, {
浏览 39
提问于2021-01-16
得票数 0
1
回答
反
CSRF
令牌
是存储在客户端、服务器端,还是两者都存储?
session
、
cookies
、
jwt
、
xss
、
csrf
我
正在创建一个带有Node.js后端的React网站。
我
一直试图找出一个用户身份验证实现来防止
CSRF
攻击,但是
我
真的很困惑在哪里存储
反
CSRF
令牌
。 服务器
将
JWT
(
反
CSRF
令牌
)存储在会话存储中
浏览 0
提问于2018-10-12
得票数 1
1
回答
解决NodeJS服务器中
csrf
和身份验证问题的最佳方法
android
、
node.js
、
web
、
jwt
、
csrf
我
是新来的web服务器开发。
我
正在开发一个NodeJS web服务器,它同时服务于web (AngularJS/ReactJS)和本地移动应用程序(Android)。在
我
的项目中有一个特定于用户的特性。
我
的问题是请详细解释。 如
浏览 0
提问于2019-03-19
得票数 0
1
回答
JWT
认证
可以
作为一种抗
CSRF
机制吗?
web-application
、
csrf
、
jwt
在角单页应用程序(角+ REST )上,
我
使用
JWT
身份验证。让我们假设
JWT
令牌
是正确生成的,并且是真正随机的(您无法预测)。这个
JWT
令牌
对跨站点请求伪造(
CSRF
)跨站点请求伪造(
CSRF
)
是否
有足够的保护-换句话说,
JWT
作为
反
CSRF
令牌
也足够吗?
浏览 0
提问于2018-01-09
得票数 10
回答已采纳
1
回答
使用任何
CSRF
解决方案的cookie中的
JWT
是否
与localStorage中的
JWT
一样容易受到XSS的攻击?
web-application
、
xss
、
csrf
、
jwt
我
读过
JWT
令牌
不应该存储在localStroage中,因为XSS攻击
可以
读取它们。提出的解决方案是在HTTPOnly cookies中存储
JWT
令牌
,并使用
反
CSRF
/双提交cookie。OWASP说,所有
CSRF
解决方案都容易受到XSS的攻击。如果是这样的话,那么使用
CSRF
的HTTPOnly cookie中的
JWT
是否
同样容易受到XSS的攻击呢?如果是这样的话,为什
浏览 0
提问于2016-04-11
得票数 4
1
回答
为了保护
我
的应用程序,
我
需要检查哪些安全性?
account-security
对于具有登录和注销功能以及基于身份验证的浏览的应用程序,
我
需要什么来保护它?
我
基本上是非常新的安全和谷歌是导致更多的混乱。 首先,
我
决定使用
JWT
作为主干。客户端
将
登录,他/她得到一个jws并开始通信。
我
的第一个问题是,
我
是否
也需要实施
csrf
保护呢?在我看来,恶意网站或黑客
将
无法引起
csrf
攻击。
我
还需要做些什么才能更好地保护它?
我
可能必须使用http
浏览 0
提问于2020-07-26
得票数 2
2
回答
当使用双提交cookie作为对
csrf
的保护时,在哪里创建随机密钥重要吗?
http
、
javascript
、
csrf
我
有一个无国籍的后端和一个水疗中心。除了登录请求之外,所有请求都由标题中的
jwt
保护。通过在报头中使用
jwt
,技术上已经有了针对
csrf
(根据这个答案)的
浏览 0
提问于2023-04-17
得票数 2
1
回答
不相信
JWT
令牌
+
CSRF
令牌
的安全性
authentication
、
xss
、
csrf
、
jwt
、
token
假设
我
有一个web应用程序,在其身份验证方案中使用了
JWT
令牌
和
CSRF
令牌
。据我所知,它是这样运作的: 当用户登录时,客户端发送一个登录request.。服务器
将
签名的
JWT
令牌
设置为一个cookie,其响应头中有Set-Cookie ... ;Secure ;httpOnly。这
可以
防止XSS攻击,因为Javascript.无法访问cookie。服务器还发送没有httpOnly设置的
CSRF
令牌</em
浏览 0
提问于2018-11-29
得票数 1
2
回答
JWT
令牌
与
CSRF
javascript
、
php
、
http
、
jwt
我
仍然不清楚
JWT
和
CSRF
是否
合作。
我
理解
JWT
的基本原理(它是什么以及它是如何工作的)。
我
也理解
CSRF
当与会话一起使用时。类似地,
我
理解
将
JWT
存储在localStorage中存在风险,这就是您需要
csrf
令牌
的原因。所以我的问题是,
我
该如何同时使用它们。简单地说,
我
有一个登录页面。1)
我
让用户登录,一旦
浏览 0
提问于2017-11-19
得票数 13
1
回答
双提交cookie在角SPA中的
CSRF
保护
angularjs
、
rest
、
security
、
jwt
、
csrf
JWT
只放在HTTP安全cookie中,并被发送回响应标头 服务器查看cookie,解压缩
JWT
中的
csrf
令牌
,
将
CSRF
令牌
与请求正文
浏览 4
提问于2016-12-09
得票数 0
2
回答
JWT
和OAuth身份验证之间的主要区别是什么?
authentication
、
oauth
、
oauth-2.0
、
jwt
我
有一个带有使用
JWT
的无状态身份验证模型的新SPA。
我
经常被要求
将
OAuth用于身份验证流程,比如要求我为每个请求发送“持有者
令牌
”,而不是简单的
令牌
头,但我确实认为OAuth比简单的基于
JWT
的身份验证复杂得多。主要的区别是什么,
我
应该让
JWT
身份验证的行为像OAuth一样吗?
我
也使用
JWT
作为
我
的XSRF-TOKEN来阻止XSRF,但是
我
被要求将它们分开?
浏览 286
提问于2016-10-07
得票数 481
回答已采纳
1
回答
什么是保护REST接口不被会话窃取的正确方法?
http
、
rest
让我们假设攻击者能够
将
JavaScript注入网站。显然,他
可以
执行任何HTTP请求,以模拟用户操作,除非有一些确认,如SMS代码需要用户直接交互(即使在这种情况下,恶意JavaScript也可能欺骗用户)。所以,
我
想,这个攻击媒介是无法合理防御的。但是还有另一个缺点:第三方网站
可以
从
我
的服务器制作带有动作的表单标签,并使用用户cookie提交此表单。我们
可以
使用
CSRF
令牌
,但是它们应该是JavaScript
可以
使用的,如果Java
浏览 0
提问于2017-09-27
得票数 1
1
回答
Flask-
JWT
-通过双重提交cookie方法扩展set cookie,防止仅HTTP-only cookie
nginx
、
cookies
、
httponly
、
flask-jwt-extended
我
在Flask后端和React前端使用Flask-
JWT
-Extended和double submit cookie方法。所以这里的想法是,cookie使用
CSRF
令牌
保存用户的会话信息,non-HTTPonly cookie保存
CSRF
令牌
,当发出POST请求时,由JS访问的
CSRF
令牌
与其他cookie一起发送到后端。这在
我
的开发环境中工作得很好,其中两个cookie
可以
通过JavaScript访问,因此
浏览 53
提问于2021-04-03
得票数 0
回答已采纳
3
回答
安全地使用带有
CSRF
保护和刷新
令牌
的
JWT
authentication
、
cookies
、
csrf
、
jwt
我
正在
我
的应用程序中实现
JWT
,
我
希望使它们尽可能安全。
我
将
列出
我
所计划的一切,
我
将
非常感谢关于这个实现的安全性的任何建议。这是
我
的网站,
我
有充分的访问它的每一个方面,前端和后端。如果
JWT
过期(基于其exp声明),
将
检查DB以确保用户仍然有效(例如帐户未删除、密码未更改等)。如果用户有效,则对刷新
令牌
进行验证,生成一个新的
JWT</em
浏览 0
提问于2016-08-12
得票数 14
1
回答
实现
CSRF
免费
JWT
认证的安全方法
javascript
、
php
、
cookies
、
csrf
、
jwt
我
刚刚了解了
JWT
的身份验证。
将
JWT
令牌
存储在localStorage/sessionStorage中是向XSS公开的。将其存储在cookie中容易受到
CSRF
的攻击。
我
一直在研究这个问题,
我
想出了这个解决方案,但我不确定这个方案有多安全,
我
是否
应该在生产中使用它。 解决方案是从服务器获取
JWT
令牌
,并将其存储在cookie中。生成一个
CSRF
浏览 2
提问于2016-08-26
得票数 1
回答已采纳
2
回答
响应前端和REST API,
CSRF
reactjs
、
cookies
、
csrf
、
rest
如何在前端使用RESTful API作为后端并由JSON
令牌
(
JWT
)授权,我们如何处理会话?例如,登录后,
我
从REST获得一个
JWT
令牌
。如果
我
将它保存到localStorage中,
我
很容易受到XSS的攻击,如果
我
将它保存到cookie中,除了
我
将
cookie设置为HttpOnly之外,还会出现相同的问题,但是React不能读取HttpOnlycookies (
我
需要读取cookie来从中获取<e
浏览 4
提问于2017-08-28
得票数 77
回答已采纳
3
回答
用Flask
jwt
扩展在浏览器cookie中存储
令牌
python
、
flask
、
flask-mongoengine
、
flask-jwt-extended
我
知道如何用这个库创建
令牌
,以及如何在响应体中放置
令牌
:refresh_tokenset_access_cookies({"login": True}, access_token)但是,在
我
的烧瓶应用程序中使用它时为了在cookie中存储
令牌</e
浏览 0
提问于2020-05-31
得票数 0
回答已采纳
1
回答
将
CSRF
令牌
作为
JWT
内部声明的
JWT
cookie
xss
、
cookies
、
csrf
、
jwt
、
local-storage
我
试图找出
我
建议的解决方案
是否
对XSS和
CSRF
保护都有效,
我
希望
将
JWT
存储在httpOnly & secure cookie中,而不是在本地存储中,当用户成功登录时,他将在响应有效负载中获得一个
CSRF
令牌
(随机字符串),与声明到
JWT
有效负载的
令牌
相同,用户端
令牌
将
存储在localStorage中。当用户调用经过身份验证的rest端点时,他
浏览 0
提问于2021-12-24
得票数 1
回答已采纳
1
回答
是否
将
访问
令牌
存储在私有数据中,在http-只读cookie中刷新
令牌
是否
安全?
django
、
single-page-apps
后端: Django / Django Rest框架,
将
托管在GCP k8s中身份验证:
JWT
(https://github.com/jazzband(可能位于同一域,但可能位于不同的子域)从端点获取
CSRF
令牌
(作为cookie) 将该
令牌
与任何不安全的请求附加为cookie,以及一个标头,例如,其值在cookie中提到。登录端点在响应中返回一个
JWT
浏览 0
提问于2023-03-03
得票数 1
1
回答
在登录表单中添加_
csrf
令牌
后,
反
CSRF
扫描器仍然会发出警报。
csrf
、
spring-framework
我
正在从事一个Spring项目。通过启用和使用Spring安全性,
我
将
CSRF
令牌
应用于登录表单。当我进入登录页面时,
我
可以
看到使用名称_
csrf
自动生成的
CSRF
令牌
。但是,当我使用ZAP扫描该项目时,仍然会收到有关反
CSRF
令牌
的警告,如:抗
csrf
攻击失败。
我
还尝试使用删除或编辑字段_
csrf
令牌
,然后
浏览 0
提问于2019-05-03
得票数 1
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
「JWT」,你必须了解的认证登录方案
时序图说明JWT用户认证及接口鉴权的细节
微服务前方有雷,服务网格帮你趟过通信安全这个坑!
基于 Token的WEB 后台认证机制
NET Core API 框架实现接口的JWT授权验证
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
云直播
活动推荐
运营活动
广告
关闭
领券