0
我已經設置了一個使用JWT身份驗證進行用戶登錄的單頁網站。 它使用angularjs和ui-router來導航頁面。如果使用JWT,我需要CSRF嗎?
我還需要CSRF保護嗎?或者我可以只使用JWT令牌來保護僅管理區域?
我已經設置了一個使用JWT身份驗證進行用戶登錄的單頁網站。 它使用angularjs和ui-router來導航頁面。如果使用JWT,我需要CSRF嗎?
我還需要CSRF保護嗎?或者我可以只使用JWT令牌來保護僅管理區域?
單頁面應用程序通常允許用戶登錄並使用生成的JWT令牌通過承載方案驗證調用REST API。
加載應用程序框架頁面(HTML/JavaScript/CSS等)通常不安全(因爲這些文件不包含敏感數據)。瀏覽器不會自動將承載令牌添加到頁面請求中。
如果您想保護您的HTML和JavaScript頁面,您可以使用基於cookie的身份驗證,因爲Cookie會自動添加到瀏覽器的請求中。