我需要一些意见,当表单提交使用ajax时,如何保护JWT令牌,这是它在谷歌铬检查元素上的样子令牌是可见的,未知用户可以发布一些数据到它的端点,有什么想法来保护JWT令牌吗?如有任何意见,谢谢!
浏览 3提问于2018-08-29得票数 1
1回答
我通过要求api端点在请求标头中携带授权令牌来保护它们。服务器确保该令牌在每个端点处存在并且有效。对于来自客户端代码(Angular 2)的请求,一切工作正常。
但是如何处理来自html的请求呢?如何为这些请求添加authorization标头?这是一个Angular 2应用程序,所以可能有几种解决方案。
浏览 0提问于2016-11-18得票数 0
1回答
我正在创建一个ajax调用,如下所示: xhr.setRequestHeader("Authorization", make_base_auth(username, password)); 生成的HTTP请求标头包含当我直接从浏览器发出相同的请求时,
浏览 2提问于2013-10-24得票数 0
我可能遗漏了一些明显的东西。但
我正在尝试用greasemonkey插件来增强原生subversion http访问。目前,我正在使用CGI脚本运行PROPFIND等。我已经下载了一个Javascript DAV客户端,它将从中完成我想要的所有功能。假设我可以使用已经提供的用户凭证,那么我应该能够使用具有正确安全性的javascript获得扩展的subversion信息。我们在subversion服务器上运行基本身份验证,但我不知道如何使此库中的xmlHttpReque
浏览 1提问于2013-04-05得票数 1
1回答
我使用的是.NET Web API。为了进行授权,我在头文件中添加了自定义令牌,如下所示:
问题是我无法从客户端的响应中检索到"Authorization-Token“。我尝试过使用Angular的$http和jQuery $ajax。当我使用Fiddler时,我会得到响应中发送的所有标头。包括自定义的"Authorization-Token“报头。这是j
浏览 1提问于2013-04-19得票数 2
回答已采纳
2回答
Laravel5.2没有从跨域jQuery load()方法中识别请求为AJAX: $('#results').load('http://site2.com/test');$request->ajax()) { }
// do somethi
浏览 4提问于2016-02-04得票数 3
回答已采纳
{ }); });我的产品控制器从数据库中获取数据data: rows, res.render('checkout', { });我的中间件在访问受保护的</em
浏览 0提问于2020-06-15得票数 0
1回答
我正在使用一个jQuery Ajax请求调用一个web服务,我需要传递一个authorization头。所以我有像下面这样的东西...YXBpdHVybnRvQGFwaS5jb206QXBpMzIxJDEyMw'); success: handleData当我查看传出请求中的请求头时Access-Control-Request-
浏览 4提问于2017-05-05得票数 1
2回答
我正在通过ajax传递报头, headers: { }我可以在浏览器中看到Request Header中的值。但是我在这个数组中看不到我的自定义标头。
那么如何通过PHP获得这个自定义的头文件呢?
浏览 1提问于2020-06-24得票数 2
我想使用HTTP基本身份验证为可编程sms的状态回调端点提供密码保护。对于没有Authorization头的Twilio的初始请求,我发回了一个状态代码401,并将WWW-Authenticate头设置为"Basic realm='some realm'“。但是,我没有收到来自Twilio的带有Authorization标头的
浏览 34提问于2020-05-09得票数 2
我正在尝试使用HTTPClient将大量请求发送到使用基本身份验证进行保护的use服务。虽然我使用的是ThreadSafeClientConnManager,但Apache HTTPClient的基本身份验证实现似乎不是线程安全的。有时请求标头不包含authorization元素,这会导致401。是否有对多线程使用基本身份验证的通用方法或最佳实践?
浏览 7提问于2012-02-28得票数 5
回答已采纳
Stripe/Square/etc允许您将API作为Bearer令牌放入Authorization标头中。但是,据我所知,您不能允许来自所有来源的凭据(包括Authorization头)。那么,他们如何接受来自所有来源的具有该标头的请求?
浏览 6提问于2021-11-30得票数 0
1回答
这是我到目前为止所知道的:$.ajax({ dataType: 'jsonp', xhr.setRequestHeader("Author
浏览 4提问于2010-06-19得票数 46
回答已采纳
使用webpack运行开发服务器,我试图在S3桶中列出项目,并在浏览器中使用javascript aws来控制结果。ExpressAccess-Control-Allow-Methods: *如果标头存在并且错误说它丢失了,那么它会不会是授权之类的东西呢?如果它确实是头设置,那么如果标题实际存在,下一步将是什么呢?1:在S3上添加CORS设置,但是我相信它抱怨<e
浏览 4提问于2017-12-02得票数 6
回答已采纳
1回答
我在互联网上找到了一些说明,例如: SvelteKit身份验证 SvelteKit会话身份验证使用Cookies ,但遗憾的是没有关于SvelteKit和JWT的说明。所以我自己试过了。我怀疑标题中的某些设置是错误的,但无法确定是什么错误。这是我高度简化的测试环境: status: 200, 'cont
浏览 0提问于2021-04-23得票数 1
回答已采纳
我正在学习ruby on rails,嗯。class PostsController < ApplicationController
# GET /postsdef index
@posts = Post.
浏览 0提问于2012-11-09得票数 0
回答已采纳
1回答
我正在使用axios发布数据,我想要来自响应头的授权令牌。this.one, },当我查看Network选项卡时,我得到了一个Options和一个Post响应,并且post请求在响应头中具有Beerer值,并且在请求头中具
浏览 1提问于2021-04-16得票数 0
4回答
我试图在我的身份验证系统中实现JWT,我有几个问题。为了存储令牌,我可以使用cookie,但也可以使用localStorage或sessionStorage。那么它将如何保护不受CSRF的影响呢?"如果我要通过A
浏览 11提问于2014-10-13得票数 75
回答已采纳
2回答
我只想接受限制域请求,就像我想接受来自www.abc.com和www.xyz.com的所有请求一样,所有其他请求都应该被拒绝。我不能使用服务器端的令牌进程,因为多个域使用我的javascript代码,所以这里我们不能考虑服务器端令牌和HTTP_ADDR可以从javascript操作。请建议如何验证哪一个是可靠的?
浏览 6提问于2015-06-25得票数 2
回答已采纳
在适配器初始化和使用之后,我试图向适配器的请求中添加一个Authorization头。在创建ApplicationAdapter时,我可以静态地添加标头,但我似乎无法让它在随后的REST调用中使用标头。我正在尝试这样做:App.ApplicationAdapter.reopen({ Aut
浏览 4提问于2014-01-31得票数 4
回答已采纳
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
腾讯云开发者
