请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

关于使用wtsform的问题

老师,在项目中使用了wtsform这个验证器,我在查找资料时发现这个验证器居然有 xss漏洞,去看了一下他的URL验证确实如此
https://www.leavesongs.com/PENETRATION/opensource-software-safe-about-wtform-xss.html
这个时别人发的文档,
另外,老师,在项目中使用jwt做api验证的问题,这个jwt在用户退出登陆后,拿到客户端的token,再去请求接口,还是可以使用,这个是不是有点不安全了。
兰小宇 2019-11-07 17:06:04
源自:11-15  如何集成ueditor富文本到tornado中
539
收起

正在回答

1回答

bobby 回答被采纳获得+3积分 2019-11-07 17:31:08

上面这篇文章比较早了,所以是否目前已经解决了这个问题,还需要自己测试一下

jwt确实存在这个问题,这是由于jwt的原理决定的,因为这个没有保存在服务器所以退出无非就是删除,所以退出是一个假退出,别人拿到仍然可以使用,jwt为了确保安全性就采用了一种过期的方案,不过虽然jwt有这些缺点。不过jwt用于做分布式应用确实很方便的,所以具体要不要用就看自己的需求了

0 回复 有任何疑惑可以回复我~
收起回答
  • 提问者 兰小宇 #1 
    wtsform目前没有解决这个问题,我去看源码了。jwt的过期方案也不行,比如你设置一天,那一天之内这个token还是有效的,看来只能用cookie或者oauth2,比较合适
    回复 有任何疑惑可以回复我~ 2019-11-07 17:38:57
  • bobby 回复 提问者 兰小宇 #2 
    过期的逻辑课程中已经测试过了 你可以单独写脚本测试一下这个token是否过期了,jwt已经是很完善的方案了
    回复 有任何疑惑可以回复我~ 2019-11-09 13:09:51
取消 回复

相似问题

bootstrap使
332 0 3
自增主键
717 1 5
TCP 与 UDP 使场景
143 0 3
xshell
1019 1 8
为何使setTimeOut
731 1 4

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
Tornado从入门到进阶 打造支持高并发的技术论坛
  • 参与学习       588    人
  • 解答问题       350    个

异步IO并发编程/Form,ORM/aiomysql、peewee-async/epoll

了解课程

本课精华内容

问答 作业

关于异常处理类选择问题?

819 18

同步和异步两种模式如何处理高并发场景?

1.6k 15

部署失败的问题

1.0k 15

关于Handler中 不能写同步IO的问题

1.0k 12

peewee-async可以执行原生sql么

1.6k 11

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信