有没有办法防止从 3rd 方库和软件中截取 XMLHTTPRequests?这是一个非常强大但也很危险的功能,因为这样每个 npm 依赖项都可以拦截流量并窃取访问令牌。
我们即将实施 owasp 推荐并引入指纹 http only cookie。我们还将访问令牌移动到内存中。在发现使用以下代码片段拦截每个 XMLHTTPRequest 是多么容易之后:
let oldXHROpen = window.XMLHttpRequest.prototype.open;
window.XMLHttpRequest.prototype.open = function(method, url, async, user, password) {
// do something with the method, url and etc.
this.addEventListener('load', function() {
// do something with the response text
console.log('load: ' + this.responseText);
});
return oldXHROpen.apply(this, arguments);
}
对于我们在 npm 中的所有外部依赖项,这不是一个巨大的安全风险吗?有没有办法保护它并禁止拦截器并确保 XMLHttpRequest 的原型没有被操纵?