了解CSRF攻击会让我获得一个Nodejs应用程序的安全保护。它目前正在云中运行。服务器的多个实例正在运行,并且由云主机提供商使其透明。
我对保护应用程序免受CSRF的理解:
处理数据令牌的常用方法是什么?我记得以下几点:
答案 0 :(得分:1)
如果生成令牌并在服务器端进行散列,则可以将它们传递给客户端,然后在服务器端检索它们而不将它们存储在数据库中。我认为Json Web Token身份验证原则可以为您提供一些想法。
在我看来,你使用限制时间戳服务器端对json对象进行加密,将其传递给客户端,客户端在发布表单时将其发送回服务器,然后将其解密(只有你可以使用秘密)和PUFF!检索原始数据。