我正在使用Express框架编写一个带有Node.js的小型Web应用程序.我正在使用csrf中间件,但我想为某些请求禁用它.这是我在我的应用程序中包含它的方式:
var express = require('express');
var app = express();
app.use(express.bodyParser());
app.use(express.cookieParser());
app.use(express.cookieSession({secret: 'secret'}));
app.use(express.csrf());
我想设置一个没有csrf控件的POST路由.
我正在使用sails.js作为后端,或者更常见的是使用nodejs.
我的网站的管理页面是由浏览器访问的,但对于所有非管理员用户,他们应该通过本机移动应用程序(iOS/Android)访问我的后端资源.
我认为对于本机app restful http请求,没有必要启用csrf保护,但对于管理页面浏览器访问,它是.
所以我想知道是否可以为浏览器访问启用csrf保护并禁用移动本机应用访问的csrf保护?