如何解决我可以使用 JWT 作为反 CSRF 令牌吗
我想看看我是否可以完成防止 CSRF 而不必在服务器上 redis 的用户会话中存储任何附加信息。在请求表单删除帐户时,我是否可以使用随机字符串 (uuid4) 和密钥对 JWT 令牌进行签名,并具有过期时间并将结果发送给客户端。提交表单后,我将验证 JWT。
像这样:
const tokenToSend = jwt.sign(uuid4(),SECRET,{ expire: 60 })
解决方法
描述 Csrf 攻击的一个简单方法是受害者(登录了易受攻击的网站 A)浏览第三个网站 B,该网站假装是网站 A 的受害者。 因此,为了防止 csrf 攻击,我们必须将请求(我们想要保护的)设置为不可预测,以便攻击者无法事先准备请求。如果您使用 jwt 作为 csrf 令牌,则必须使该 jwt 对于每个请求都是唯一的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。