Jwt防范xss攻击的方法:使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用户发请求给服务端时,前端使用js将jwt放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信
使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用户发请求给服务端时,前端使用js将jwt放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信息,这样就避免了漏洞攻击,例如jwt认证中token生成过程:
const crypto = require("crypto");
const base64UrlEncode = require("base64url");
//头部信息
var header = {
"alg": "HS256", //签名算法类型,默认是 HMac SHA256(写成 HS256)
"typ": "JWT" //令牌类型,JWT令牌统一为JWT
};
//负载信息,存储用户信息
var payload = {
"sub": "1234567890",
"name": "xiao jie",
"admin": true
}
//服务器秘钥,用于加密生成signature,不可泄漏
var secret = "chaojidamantou";
//header部分和payload部分
var message = base64UrlEncode(JSON.stringify(header)) + "." + base64UrlEncode(JSON.stringify(payload));
//HMACSHA256加密算法
function HMACSHA256(message, secret) {
return crypto.createHmac('sha256', secret).update(message).digest("hex");
}
//生成签名信息
var signature = HMACSHA256(message, secret);
//header和payload部分内容默认不加密,也可以使用加密算法加密
var JWT = message + "." + base64UrlEncode(signature);
console.log(JWT);
--结束END--
本文标题: jwt如何防范xss攻击
本文链接: https://www.lsjlt.com/news/115938.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
2024-05-05
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0