那些遇到过的问题

如何从url中删除socket.io sid参数

Ano*_*pus 8 security socket.io

我们一直在使用socket.io作为我们应用程序中的聊天框架.实施是干净和成功的.但在对应用程序进行安全审核之后,据报道将会话ID保留在url中被认为是一种不好的做法.

在socket.io会话中,id是参数sid,默认情况下它出现在URL中,如下所示.

https://example.com:4000/socket.io/?EIO=3&transport=polling&t=1480422460686-2&sid = H7ZujhfsdTyTGKg2AARq

我们有什么方法可以从URL中删除它吗?我们已经完成了Google的文档和一系列结果.似乎没有解决方案.

根据安全团队的说法,当与CloudFlare中最近的漏洞相关时,此问题是相关的.有解决方案吗

小智 2

这篇文章建议sid必须出现在查询字符串中。此处概述了使用代理/SSL 证书的一些解决方法。希望这可以帮助。

归档时间:

查看次数:

663 次

最近记录:

7 年,2 月 前
相关归档
Python的字符串.format()可以安全地用于不受信任的格式字符串吗? 15
PHP的新input_filter不读取$ _GET或$ _POST数组 11
清理SQL数据 10
内容安全策略的connect-src指令是否允许您发出跨域请求? 9
NodeJS Express不提供'/socket.io/socket.io.js' 9
更改Joomla管理员URL 9
用户数据库中的隐私和安全性 5
注册用户无法进行投票 5
如何在Android上保护数据库(加密)密码? 2
二进制操作码编码和解码实现是否特定于websockets? 0
难疑归档
适用于Android UserManager.isUserAGoat()的用例? 3506
在JavaScript中循环遍历数组 2940
在Git存储库中查找并恢复已删除的文件 2716
什么时候应该使用static_cast,dynamic_cast,const_cast和reinterpret_cast? 2367
Dockerfile中的`COPY`和`ADD`命令有什么区别? 1991
将文件从主机复制到Docker容器 1391
在Bash中循环遍历一串字符串? 1371
用于更新和删除的HTTP状态代码? 1264
六角透明的颜色 1219
什么是"Linting"? 1044