我正在使用骨干网和 node.js 创建一个网站,并且不认为默认情况下有任何针对 CSRF 的保护。将骨干与 node.js 一起使用时,是否有针对 CSRF 进行投影的标准方法?谢谢
问问题
2038 次
3 回答
5
您可以简单地确保请求的X-Requested-By标头具有 value XMLHTTPRequest。AJAX 请求具有跨域限制,因此如果该标头存在,则它不是例如恶意网站上的隐藏表单。
于 2012-04-30T15:40:20.860 回答
1
我不知道任何特定于 node.js + 骨干网的东西,但您可以使用http://www.senchalabs.org/connect/middleware-csrf.html(假设您使用的是 express 或与连接兼容的东西)。您需要在 html 中的某处输出令牌,例如作为元标记。然后,您可以修改主干同步方法以提取该令牌并通过标头、查询或表单将其传递给 express。
于 2012-05-03T01:18:19.487 回答
1
如果Allow-Origin标头设置为允许的内容(例如,Allow-Origin:*)X-Requested-By将不会阻止请求伪造。在另一台主机上运行的任何 javascript 都将能够制作仍然启用请求伪造的请求。
于 2012-12-25T07:09:34.700 回答