什么是 JWT 以及它解决了什么问题?
JWT 也就是 JSON Web Token,一个基于 RFC 751 的标准,可用于在两个实体(如前端和后端)间进行 JSON 物件的传输。由 header、payload、signature 三种资料所构成,透过 . 来区隔并使用 Base64 编码以便传输。
JWT 也就是 JSON Web Token,一个基于 RFC 751 的标准,可用于在两个实体(如前端和后端)间进行 JSON 物件的传输。由 header、payload、signature 三种资料所构成,透过 . 来区隔并使用 Base64 编码以便传输。
验证(Authentication)与授权(Authorization)是存取控制中两个常被混淆的概念,背后分别代表两种问题:你是谁?你被允许做哪些事?同时也将介绍几种常见的授权模式,例如 RBAC 与 ABAC 管理授权。
CORS (Cross-Origin Resource Sharing) 跨来源资源共享,是一个机制用来决定网页是否能够存取其他来源的资源,能有效防止不同来源之间的不正当资源存取。透过 CORS,可以在保护用户资料的同时,允许合法的跨来源请求。
无论如何都不轻易相信用户请求即能最大程度防范 CSRF。最近在碰一些资安的东东,发现自己对于这一块知识都比较薄弱,身为前端工程师资安通常并不是首要关注的职责,但一但有漏洞保证后果不堪设想,于是近期来补足一下这方面的知识。
总结是无论如何都不轻易相信用户输入即能最大程度防范 XSS。最近在碰一些资安的东东,发现自己对这一块知识都比较薄弱,身为前端工程师资安通常并不是首要关注的职责,但一旦有漏洞保证后果不堪设想,于是近期来补足一下这方面的知识。现代齐全的工具与文件帮助下意外执行用户提供的恶意脚本的概率已经大幅降低。