- 突然想到这个问题,拜读了这篇文章【链接】理解了一点,直接搜索出来的2016,2017年的文章,讲基本都是CSRF Token,都是Token,它和JsonWebToken是不一样的,二者可以说是并列关系,都是避免CSRF的方案。
- 要理解为什么JWT放在Cookie里却能实现避免CSRF要注意到:CSRF的原理是危险网站B盗取登陆成功的业务网站A的Cookie,用户点击危险网站B的带有请求A网站URL的的按钮,关键在于网站A服务端鉴权是使用的Cookie,token存在Cookie里只是暂存,最终的唯一去向是添加到请求request的Header的Authorization 中,服务端要做的是从Header中取出这串token进行验证。
- 还有一点没理解,危险网站B能不能拿到网站A的Cookie然后取出来“Token”串添加到请求头的Authorization 里呢?
JWT放在cookie里,怎么实现的避免CSRF?
最新推荐文章于 2024-02-26 11:04:53 发布