我已经通过以下方式在我的 nodejs 服务器上实现了 CSRF 攻击预防 -
登录时的用户收到一个 CSRF 令牌和一个 cookie(基于 JWT 的令牌存储在 cookie 中)。CSRF 令牌成为使用$.ajaxSetup.
每当用户发出请求(GET 或 POST)时,我都会将客户端发送的 cookie 和 csrf 令牌(在标头中)与我服务器上存储的令牌进行比较,并且应用程序运行良好。
但是,当登录用户打开新选项卡或新浏览器窗口时,客户端拥有 cookie,但在其请求标头中没有 CSRF 令牌。所以服务器认为这是CSRF攻击并阻止请求!
我的问题是 - 在不影响 CSRF 安全性的情况下,如何在多个浏览器选项卡和窗口上运行相同的会话,而无需用户多次登录?
我是 Ubuntu 新手。
我运行以下命令将文件保存在 htdocs 文件夹中(以便方便地使用 XAMPP 进行编程),但不了解其安全后果:
sudo chown username:groupname /opt/lampp/htdocs
sudo chmod 700 /opt/lampp/htdocs
我想将文件权限(在 htdocs 文件夹上)撤消到运行上述命令之前的状态。
非常感谢任何帮助,谢谢。
这可能完全天真,但我想知道"B4c0/\/"下面的代码示例中的含义是什么。谢谢。
来自github:
To hash a password:
var bcrypt = require('bcrypt');
bcrypt.genSalt(10, function(err, salt) {
bcrypt.hash("B4c0/\/", salt, function(err, hash) {
// Store hash in your password DB.
});
});
To check a password:
// Load hash from your password DB.
bcrypt.compare("B4c0/\/", hash, function(err, res) {
// res == true
});
bcrypt.compare("not_bacon", hash, function(err, res) {
// res = false
});