gpt4 book ai didi

http - XSRF 和双重提交 cookie JWT 替代方案——这个实现安全吗?

转载 作者:可可西里 更新时间:2023-11-01 16:20:31 24 4
gpt4 key购买 nike

我正在研究我的 REST API 的 HTTP 安全性,我希望通过使用 Double Submit Cookie 使其更加安全模式,但我很确定我实际上已经在做类似的事情(完全是偶然的)。

这是我的流程:

  1. 客户端使用用户名和密码向服务器发出 POST 请求。
  2. 服务器使用 JWT token 进行响应。
  3. 客户端将 token 保存到 cookie 中。
  4. 在后续请求中,客户端读取 token cookie 并将 token 放入授权 header (我非常确定此步骤等同于双 cookie 提交技术)。
  5. 服务器根据授权 header 中的有效 token 对用户进行身份验证。

现在这不是 100% 等效的,因为服务器没有检查 cookie 和 HTTP header 是否匹配(如果我需要的话,添加这将是微不足道的)。

到目前为止,我所拥有的是否足以阻止 XSRF 攻击,还是我也应该添加 XSRF-TOKEN cookie?

最佳答案

我认为您可能可以抵御 XSRF 攻击,但听起来,您无法抵御 XSS 攻击。为了防止 XSS 攻击,您还需要在 HttpOnly cookie 中存储一个 secret 。

关于http - XSRF 和双重提交 cookie JWT 替代方案——这个实现安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42881980/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com