那些遇到过的问题

req.headers.origin未定义

Gil*_*ler 8 node.js express sails.js

Node和Express相当新.我有一个sails.js应用程序,它依赖于知道请求的来源,因为我需要对请求进行身份验证来自已注册的域.

我在日志中看到原点偶尔是空的,为什么会这样呢?依赖原始财产不是一个好主意,还有另一种选择吗?

谢谢

Pea*_*nut 13

如果用户来自ssl加密网站,则可能隐藏原点.

另外:某些浏览器扩展会从http请求标头中删除origin和referer,因此origin属性将为空.

您可能希望创建某种身份验证令牌并将其作为参数传递,而不是依赖于请求标头.特别是因为标题可以伪造/操纵.

  • 在服务器端生成令牌。使用只有您的服务器可以生成的内容(即基于密码或类似的内容,以便一台服务器可以生成它,而另一台服务器可以验证它)。这有点太复杂了,很难用一条评论来解释。不过,有很多关于这个主题的教程和论文。 (2认同)
  • @Peanut出于好奇,标题如何比params更容易被伪造/操纵? (2认同)
  • @babycakes 他们不是;两者都可以伪造,但出于 CSRF 目的,标头不能被篡改,因为它是由浏览器而不是攻击者的页面生成的。另外,https 中被删除的是“referer”,而不是“origin”。这取决于您的 [referrer-policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy)。 (2认同)

归档时间:

查看次数:

7611 次

最近记录:

10 年,11 月 前
相关归档
从ReadableStream对象中检索数据? 98
npm 不支持 Node.js v12.18.3 47
使用mongoose在mongodb中设置集合的到期时间 34
转义 .env 文件中的 # 字符 29
在ES6的`import`语法中,如何精确评估模块? 24
在Amazon ECS上在Docker中运行Node API的最佳方式是什么? 20
npm 不安装 node-gyp,错误:“class v8::Object”没有名为“ForceSet”的成员 12
如何在没有猫鼬的情况下使用快递连接到mongodb? 7
如何在一个VPS上托管3个不同域的3个节点应用程序? 5
Multer 的 AWS S3 Node.js SDK“NotImplemented”错误 4
难疑归档
什么是依赖注入? 2984
为什么"使用命名空间std"被认为是不好的做法? 2486
如何使用jQuery刷新页面? 2361
如何确定数组是否包含Java中的特定值? 2194
什么是反思,为什么它有用? 2011
查找当前目录和文件的目录 2007
静态类和单例模式之间的区别? 1708
为什么自闭脚本标签不起作用? 1284
在React JSX中循环 1131
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076