电商API安全防护:JWT令牌与XSS防御实战

在电商 API 的安全防护中,JWT(JSON Web Token)令牌用于身份验证和授权,而 XSS(跨站脚本攻击)防御则是防止恶意脚本注入,保护用户数据和系统安全。以下是这两方面的实战介绍。

JWT 令牌实战

1. 生成 JWT 令牌

首先,你需要安装 PyJWT 库(假设使用 Python):

复制代码
pip install PyJWT

以下是生成 JWT 令牌的示例代码:

复制代码
import jwt
import datetime

# 密钥,用于签名 JWT
SECRET_KEY = "your_secret_key"

def generate_token(user_id):
    # 设置令牌的过期时间
    expiration = datetime.datetime.utcnow() + datetime.timedelta(hours=1)
    # 构建负载信息
    payload = {
        "user_id": user_id,
        "exp": expiration
    }
    # 生成 JWT 令牌
    token = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
    return token

# 示例使用
user_id = 123
token = generate_token(user_id)
print(token)
2. 验证 JWT 令牌

在 API 端,需要对传入的 JWT 令牌进行验证:

复制代码
def verify_token(token):
    try:
        # 验证并解码 JWT 令牌
        decoded = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
        return decoded
    except jwt.ExpiredSignatureError:
        print("Token has expired")
        return None
    except jwt.InvalidTokenError:
        print("Invalid token")
        return None

# 示例使用
decoded = verify_token(token)
if decoded:
    print("Token is valid. User ID:", decoded["user_id"])
3. 在 API 中集成 JWT 验证

在 Flask 框架中集成 JWT 验证的示例:

复制代码
from flask import Flask, request, jsonify
import jwt

app = Flask(__name__)
SECRET_KEY = "your_secret_key"

def verify_token(token):
    try:
        decoded = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
        return decoded
    except jwt.ExpiredSignatureError:
        return None
    except jwt.InvalidTokenError:
        return None

@app.route('/protected', methods=['GET'])
def protected_route():
    token = request.headers.get('Authorization')
    if not token:
        return jsonify({"message": "Token is missing"}), 401
    token = token.replace('Bearer ', '')
    decoded = verify_token(token)
    if not decoded:
        return jsonify({"message": "Invalid token"}), 401
    return jsonify({"message": "This is a protected route", "user_id": decoded["user_id"]})

if __name__ == '__main__':
    app.run(debug=True)

XSS 防御实战

1. 输入验证和过滤

在接收用户输入时,对输入进行验证和过滤,只允许合法的字符和格式。例如,在 Python 的 Flask 框架中:

复制代码
from flask import Flask, request, jsonify
import re

app = Flask(__name__)

def validate_input(input_str):
    # 只允许字母、数字和常见标点符号
    pattern = re.compile(r'^[a-zA-Z0-9.,!?\s]+$')
    return bool(pattern.match(input_str))

@app.route('/search', methods=['GET'])
def search():
    query = request.args.get('query')
    if not validate_input(query):
        return jsonify({"message": "Invalid input"}), 400
    # 处理搜索逻辑
    return jsonify({"message": "Search results", "query": query})

if __name__ == '__main__':
    app.run(debug=True)
2. 输出编码

在将用户输入的数据返回给前端时,对数据进行编码,将特殊字符转换为 HTML 实体。在 Python 中,可以使用 html.escape 函数:

复制代码
import html

user_input = '<script>alert("XSS")</script>'
encoded_input = html.escape(user_input)
print(encoded_input)  # 输出: &lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;
3. 设置 CSP(内容安全策略)

CSP 可以限制页面可以加载的资源来源,防止恶意脚本的注入。在 Flask 中,可以通过设置响应头来实现:

复制代码
from flask import Flask

app = Flask(__name__)

@app.after_request
def add_csp_header(response):
    response.headers['Content-Security-Policy'] = "default-src'self'"
    return response

@app.route('/')
def index():
    return "This is the home page"

if __name__ == '__main__':
    app.run(debug=True)

通过以上 JWT 令牌和 XSS 防御的实战措施,可以有效提高电商 API 的安全性,保护用户数据和系统免受攻击。

相关推荐
缘友一世1 分钟前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
HMS Core1 小时前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
伍哥的传说1 小时前
鸿蒙系统(HarmonyOS)应用开发之手势锁屏密码锁(PatternLock)
前端·华为·前端框架·harmonyos·鸿蒙
yugi9878381 小时前
前端跨域问题解决Access to XMLHttpRequest at xxx from has been blocked by CORS policy
前端
浪裡遊2 小时前
Sass详解:功能特性、常用方法与最佳实践
开发语言·前端·javascript·css·vue.js·rust·sass
Gauss松鼠会2 小时前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
旧曲重听12 小时前
最快实现的前端灰度方案
前端·程序人生·状态模式
默默coding的程序猿3 小时前
3.前端和后端参数不一致,后端接不到数据的解决方案
java·前端·spring·ssm·springboot·idea·springcloud
夏梦春蝉3 小时前
ES6从入门到精通:常用知识点
前端·javascript·es6
归于尽3 小时前
useEffect玩转React Hooks生命周期
前端·react.js