jwt如何防范xss攻击

1587
2020/12/25 18:52:20
栏目: 网络安全
开发者测试专用服务器限时活动,0元免费领,库存有限,领完即止! 点击查看>>

jwt如何防范xss攻击

jwt防范xss攻击的方法:

使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用户发请求给服务端时,前端使用JS将jwt放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信息,这样就避免了漏洞攻击,例如jwt认证中token生成过程:

const crypto = require("crypto");

const base64UrlEncode = require("base64url");

//头部信息

var header = {

"alg": "HS256", //签名算法类型,默认是 HMAC SHA256(写成 HS256)

"typ": "JWT" //令牌类型,JWT令牌统一为JWT

};

//负载信息,存储用户信息

var payload = {

"sub": "1234567890",

"name": "xiao jie",

"admin": true

}

//服务器秘钥,用于加密生成signature,不可泄漏

var secret = "chaojidamantou";

//header部分和payload部分

var message = base64UrlEncode(JSON.stringify(header)) + "." + base64UrlEncode(JSON.stringify(payload));

//HMACSHA256加密算法

function HMACSHA256(message, secret) {

return crypto.createHmac('sha256', secret).update(message).digest("hex");

}

//生成签名信息

var signature = HMACSHA256(message, secret);

//header和payload部分内容默认不加密,也可以使用加密算法加密

var JWT = message + "." + base64UrlEncode(signature);

console.log(JWT);

辰迅云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>

推荐阅读: jwt怎么防止token被窃取