【文件属性】：
文件名称：electrode-csrf-jwt：使用JWT的无状态跨站点请求伪造（CSRF）保护
文件大小：94KB
文件格式：ZIP
更新时间：2021-02-03 14:49:37
security jwt koa express uuid 电极无状态CSRF 一个电极插件，可在Electrode，Express，Hapi或Koa 2应用程序中使用启用无状态保护。 我们为什么需要这个模块？ 保护是一项重要的安全功能，但是在没有后端会话持久性的系统中，验证非常棘手。 无状态CSRF支持解决了这一需求。 请参阅以获取在Hapi NodeJS服务器的Web应用程序中使用此示例的示例。 我们如何验证请求？ 当恶意脚本发出可通过用户（受害者）浏览器执行有害操作的请求，并将用户特定的敏感数据附加到Cookie中时，CSRF攻击可能很严重。 为了防止这种情况，此模块使用的技术类似于CSRF ，并且依赖于浏览器的以下两个限制： 跨站点脚本无法读取/修改Cookie。 跨站点脚本无法设置标题。 依赖于以下事实：cookie中的唯一令牌必须与隐藏在表单提交字段中的令牌匹配。 由于XSS无法更改cookie，因此该检查可防止CSRF攻击。 请注意，第一个限制存在一些漏洞，因此不能完全确保双重提交cookie技术。 参见 双JWT CSRF令牌 为了与和，我们通过使用两个JWT令牌进行验证来扩展该技术。 Cookie中的一个令牌
【文件预览】：
electrode-csrf-jwt-master
----.gitignore(4KB)
----.eslintrc(96B)
----package.json(2KB)
----.travis.yml(288B)
----xclap.js(49B)
----LICENSE(549B)
----README.md(12KB)
----demo()
--------html()
--------js()
--------README.md(5KB)
--------server.js(3KB)
----fastify-demo()
--------package.json(385B)
--------package-lock.json(22KB)
--------public()
--------README.md(2KB)
--------server.js(2KB)
----.eslintignore(35B)
----lib()
--------csrf.js(2KB)
--------simple-id-generator.js(818B)
--------csrf-express.js(1KB)
--------hash-token-engine.js(4KB)
--------csrf-hapi17.js(2KB)
--------index.js(803B)
--------csrf-fastify.js(1KB)
--------make-cookie-config.js(321B)
--------get-id-generators.js(355B)
--------errors.js(276B)
--------jwt-token-engine.js(2KB)
--------csrf-hapi.js(2KB)
--------constants.js(131B)
--------csrf-koa.js(1KB)
----fyn-lock.yaml(123KB)
----.npmignore(105B)
----test()
--------spec()
--------mocha.opts(91B)
----hapi17()
--------package.json(263B)
--------index.js(111B)
--------fyn-lock.yaml(7KB)