php - 保护来自 Inspect 元素的 Ajax 请求中的授权标头
问题描述
我需要一些关于如何在使用 ajax 提交表单时保护 JWT 令牌的意见,这就是它在谷歌浏览器上的外观检查元素 检查元素在 chrome 浏览器 上令牌是可见的并且未知用户可以将一些数据发布到其端点,任何想法保护 JWT 令牌?任何意见赞赏,谢谢!使用 HTTPS 解决此问题?
解决方案
普通用户使用用户名/密码(或其他)登录,如果他登录成功,则服务器将返回他可用于其他请求的 jwt 令牌。所以 jwt 应该已经是安全的了(除非未经身份验证的用户可以进入私人区域,但是你还有其他问题需要解决)。如果您不希望 jwt 在您的 js 代码中可见,您可以将令牌存储在服务器会话中,然后以伪代码进行 ajax 调用以检索令牌:
$.ajax({
type: "POST",
url: "/myscript.php",
data: {action : "GetToken"},
dataType: "json",
success: function(token){
// now you can do whatever you want with the token, if any.
},
error: function(){
}
}
.php
<php
if isset($_POST["action"] && $_POST["action"] == "GetToken"){
echo $_SESSION["userToken"];
}
?>
显然,您必须在$_SESSION创建令牌时保存令牌。
推荐阅读
- javascript - 在浏览器中返回没有文件扩展名的图像
- android - Flutter - AppBar 底部小部件
- django - request.user.is_authenticated 在 Django 休息框架中总是假的
- android - Android - 将其他系统应用卸载为系统应用
- microsoft-graph-api - 您如何确定驱动项是否可以版本控制
- git - 自定义 git“bang”别名的 Zsh 完成 - Git 分支名称
- android - Android Studio API 级别 28:旋转模拟器不会旋转应用内容或设备 UI
- bash - “while” bash 的问题
- android - Android BitmapFactory.decodeFile(path) 总是返回 null
- python - 在 Python 中测试密码的强度