use*_*657 8 csrf websocket csrf-protection socket.io
我目前正在考虑websockets中的CSRF漏洞.
我已经阻止了所有跨域websocket请求,但是存在脚本(例如这个python坏男孩)来绕过这样的安全措施.
是否值得在用户的index.html中包含一个令牌,它必须作为查询字符串包含在socket.io.connect()调用中?这样在服务器上我们可以检查令牌是否符合预期,否则阻止连接请求.
感谢所有的建议!
为什么不为您的 socket.io 连接设置一个授权处理程序?您可以根据握手期间收集的信息拒绝/接受连接。
有关此内容的更多详细信息,请参阅https://github.com/LearnBoost/socket.io/wiki/Authorizing 。
| 归档时间: |
|
| 查看次数: |
5515 次 |
| 最近记录: |