JwtAuthProvider在不是httpOnly的响应头中发出bearToken - ServiceStack
我已将ServiceStack AllowNonHttpOnlyCookies设置为true:
Config.AllowNonHttpOnlyCookies = true;
这确实从响应头中的某些Set-Cookie中删除了httponly:
我想删除httpsly以获取“ss-tok”的Set-Cookie响应标头。
我查看了JwtAuthProvider的选项,但没有找到任何内容。
这是我的AuthFeature配置:
Config.AllowNonHttpOnlyCookies = true;
Plugins.Add(new AuthFeature(() => new CustomUserSession(),
new IAuthProvider[] {
new JwtAuthProvider
{
HashAlgorithm = AuthSettings.HashAlgorithm,
RequireSecureConnection = requireSecureConnection,
AuthKeyBase64 = AuthSettings.JwtAuthKeyBase64,
ExpireTokensIn = TimeSpan.FromHours(_configuration["AuthSettings:ExpireTokensIn"].ToDouble()),
ExpireRefreshTokensIn = TimeSpan.FromHours(_configuration["AuthSettings:ExpireRefreshTokensIn"].ToDouble()),
CreatePayloadFilter = (payload,session) => {
payload["zipCode"] = ((CustomUserSession)session).ZipCode;
},
PopulateSessionFilter = AuthSettings.PopulateSessionFilterImplementation
},
new CustomCredentialsAuthProvider(HostContext.Resolve<ITsoContext>()) //HTML Form post of User/Pass
}));
P.S。:我对此应用程序没有很高的安全性问题
1 个答案:
答案 0 :(得分:0)
JWT Token Cookies使用recommended httpOnly for JWT Cookies by design来防止XSS攻击,它不可覆盖。
相关问题
- servicestack:将www-authenticate标头添加到错误响应中
- ServiceStack:在DTO中使用属性来设置响应头和响应主体
- 通过RequestContext的IHttpResponse没有在cookie中设置HttpOnly = false
- 响应标题问题
- 为什么安全的Asp.Net中的HttpOnly没有出现在响应标头中?
- 如何使用nginx设置HttpOnly响应头?
- OrmLite db.Select不返回响应
- Chrome javascript错误:拒绝使用servicestack获取不安全的标头X-Response-Time
- JwtAuthProvider在不是httpOnly的响应头中发出bearToken - ServiceStack
- ServiceStack JsonServiceClient响应标头
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?