文件名称:electrode-csrf-jwt:使用JWT的无状态跨站点请求伪造(CSRF)保护
文件大小:94KB
文件格式:ZIP
更新时间:2024-02-24 08:36:17
security jwt koa express uuid
电极无状态CSRF 一个电极插件,可在Electrode,Express,Hapi或Koa 2应用程序中使用启用无状态保护。 我们为什么需要这个模块? 保护是一项重要的安全功能,但是在没有后端会话持久性的系统中,验证非常棘手。 无状态CSRF支持解决了这一需求。 请参阅以获取在Hapi NodeJS服务器的Web应用程序中使用此示例的示例。 我们如何验证请求? 当恶意脚本发出可通过用户(受害者)浏览器执行有害操作的请求,并将用户特定的敏感数据附加到Cookie中时,CSRF攻击可能很严重。 为了防止这种情况,此模块使用的技术类似于CSRF ,并且依赖于浏览器的以下两个限制: 跨站点脚本无法读取/修改Cookie。 跨站点脚本无法设置标题。 依赖于以下事实:cookie中的唯一令牌必须与隐藏在表单提交字段中的令牌匹配。 由于XSS无法更改cookie,因此该检查可防止CSRF攻击。 请注意,第一个限制存在一些漏洞,因此不能完全确保双重提交cookie技术。 参见 双JWT CSRF令牌 为了与和,我们通过使用两个JWT令牌进行验证来扩展该技术。 Cookie中的一个令牌
【文件预览】:
electrode-csrf-jwt-master
----.gitignore(4KB)
----.eslintrc(96B)
----package.json(2KB)
----.travis.yml(288B)
----xclap.js(49B)
----LICENSE(549B)
----README.md(12KB)
----demo()
--------html()
--------js()
--------README.md(5KB)
--------server.js(3KB)
----fastify-demo()
--------package.json(385B)
--------package-lock.json(22KB)
--------public()
--------README.md(2KB)
--------server.js(2KB)
----.eslintignore(35B)
----lib()
--------csrf.js(2KB)
--------simple-id-generator.js(818B)
--------csrf-express.js(1KB)
--------hash-token-engine.js(4KB)
--------csrf-hapi17.js(2KB)
--------index.js(803B)
--------csrf-fastify.js(1KB)
--------make-cookie-config.js(321B)
--------get-id-generators.js(355B)
--------errors.js(276B)
--------jwt-token-engine.js(2KB)
--------csrf-hapi.js(2KB)
--------constants.js(131B)
--------csrf-koa.js(1KB)
----fyn-lock.yaml(123KB)
----.npmignore(105B)
----test()
--------spec()
--------mocha.opts(91B)
----hapi17()
--------package.json(263B)
--------index.js(111B)
--------fyn-lock.yaml(7KB)