那些遇到过的问题

使用骨干网和node.js的CSRF防御

dan*_*dan 1 csrf node.js backbone.js

我正在使用骨干网和node.js创建一个网站,并且认为默认情况下没有针对CSRF的保护措施。将主干与node.js结合使用时,是否有针对CSRF进行投影的标准方法?谢谢

Thi*_*ter 5

您可以简单地确保请求的X-Requested-By标头带有value XMLHTTPRequest。AJAX请求具有跨域限制,因此,如果存在该标头,则该标头例如不是恶意网站上的隐藏表格。

  • 您不能依靠“通用”浏览器阻止该行为这一事实。它完全在客户端“选择加入”,并且“不能”被信任。如果我使用[zombie.js](http://zombie.labnotes.org)实现了恶意客户端该怎么办? (2认同)
  • @DavidEllis:您不了解什么是CSRF。如果实施恶意客户端,则该客户端将没有经过身份验证的用户的IP或cookie。因此,来自该客户端的请求是完全无害的。CSRF并不是为了防止脚本访问您的网站,而是为了防止恶意网站上的隐藏表单等使用您网站的合法用户的凭据来访问您的网站。 (2认同)

归档时间:

查看次数:

1987 次

最近记录:

12 年,9 月 前
相关归档
Node.js module.exports的目的是什么,你如何使用它? 1397
我应该如何在同一系统上组织多个Express服务器? 44
TestRPC/Ganache:tx没有正确的nonce 31
防止asp.net Web表单中的跨站点请求伪造(csrf)攻击 24
为现有NodeJS服务器生成Swagger文档 20
是否有es6箭头功能的polyfill? 18
当我手动执行垃圾收集器时,如何判断它何时完成? 15
与Promise.all并行运行? 13
你如何从猫鼬中删除模型? 12
提供的id在nodejs中不存在razorpay 11
难疑归档
使用"let"和"var"在JavaScript中声明变量有什么区别? 4199
在Python中查找包含它的列表的项目的索引 2887
在JavaScript中编码URL? 2392
使用jQuery获取当前URL? 1761
如何撤消'git reset'? 1172
如何使用OpenSSL创建自签名证书 1169
如何使用Windows开发机器为iPhone开发? 1161
visibility:hidden和display:none之间有什么区别? 1121
查找包含具有指定名称的列的所有表 - MS SQL Server 1090
让Chrome接受自签名的localhost证书 1080