关于使用wtsform的问题
来源:11-15 如何集成ueditor富文本到tornado中
兰小宇
2019-11-07
老师,在项目中使用了wtsform这个验证器,我在查找资料时发现这个验证器居然有 xss漏洞,去看了一下他的URL验证确实如此
https://www.leavesongs.com/PENETRATION/opensource-software-safe-about-wtform-xss.html
这个时别人发的文档,
另外,老师,在项目中使用jwt做api验证的问题,这个jwt在用户退出登陆后,拿到客户端的token,再去请求接口,还是可以使用,这个是不是有点不安全了。
写回答
1回答
-
上面这篇文章比较早了,所以是否目前已经解决了这个问题,还需要自己测试一下
jwt确实存在这个问题,这是由于jwt的原理决定的,因为这个没有保存在服务器所以退出无非就是删除,所以退出是一个假退出,别人拿到仍然可以使用,jwt为了确保安全性就采用了一种过期的方案,不过虽然jwt有这些缺点。不过jwt用于做分布式应用确实很方便的,所以具体要不要用就看自己的需求了
022019-11-09
相似问题