那些遇到过的问题

小编Thr*_*yJs的帖子

React SignalR - 不要在 URL 中发送不记名令牌

我正在编写一个应用程序,但刚刚未通过以下渗透测试:

授权令牌正在 URL 中发送:

 https://domain/Hub?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Imh1Tjk1SXZQZmVocTM0R3pCRFoxR1hHaXJuTSIsImtpZCI6Imh1Tjk1SXZQZmVocTM0R3pCRFoxR1hHaXJuTSJ9.....
Run Code Online (Sandbox Code Playgroud)

当发送到使用 Azure AD 授权的集线器时,会自动发生这种情况。

    constructor (hub: string) {
    this.hubName = hub;
    this.hub = new HubConnectionBuilder()
        .configureLogging(LogLevel.Critical)
        .withUrl(`${this.hubURL}${hub}` , {
            skipNegotiation: true,
            transport: HttpTransportType.WebSockets,
            accessTokenFactory: () => {
                return `${getToken()}`
            }
        })
        .build();
}
Run Code Online (Sandbox Code Playgroud)

我已经搜索过文档,但是我想知道是否有一种方法可以在不暴露 URL 中的承载令牌的情况下连接和发送请​​求?

signalr reactjs .net-core

Thr*_*yJs
lucky-day
5
推荐指数
1
解决办法
3593
查看次数

标签 统计

.net-core ×1

reactjs ×1

signalr ×1