jwt如何防范xss攻击 jwt可不可以防止跨域攻击

主机教程 建站分享 2年前 (2022-11-25) 178次浏览

文章摘要:jwt如何防范xss攻击 jwt可不可以防止跨域攻击

jwt防范xss攻击的方法: 使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用 […]

jwt防范xss攻击的方法:

使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用户发请求给服务端时,前端使用JS将jwt放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信息,这样就避免了漏洞攻击,例如jwt认证中token生成过程:

const crypto = require("crypto");

const base64UrlEncode = require("base64url");

//头部信息

var header = {

"alg": "HS256", //签名算法类型,默认是 HMAC SHA256(写成 HS256)

"typ": "JWT" //令牌类型,JWT令牌统一为JWT

};

//负载信息,存储用户信息

var payload = {

"sub": "1234567890",

"name": "xiao jie",

"admin": true

}

//服务器秘钥,用于加密生成signature,不可泄漏

var secret = "chaojidamantou";

//header部分和payload部分

var message = base64UrlEncode(JSON.stringify(header)) + "." + base64UrlEncode(JSON.stringify(payload));

//HMACSHA256加密算法

function HMACSHA256(message, secret) {

return crypto.createHmac('sha256', secret).update(message).digest("hex");

}

//生成签名信息

var signature = HMACSHA256(message, secret);

//header和payload部分内容默认不加密,也可以使用加密算法加密

var JWT = message + "." + base64UrlEncode(signature);

console.log(JWT);


声明:
若非注明,本站文章源于互联网收集整理和网友分享发布,如有侵权,请联系站长处理。
文章名称:jwt如何防范xss攻击 jwt可不可以防止跨域攻击
文章链接:http://www.7966.org/post/16567.html
转载请注明出处

喜欢 (0)