バックボーンと node.js を使用して Web サイトを作成していますが、デフォルトでは CSRF に対する保護があるとは思いません。node.jsでバックボーンを使用する場合、CSRFに対して投影する標準的な方法はありますか? ありがとう
2038 次
3 に答える
5
リクエストX-Requested-Byに値を持つヘッダーがあることを確認するだけですXMLHTTPRequest。AJAX リクエストにはクロスドメインの制限があるため、そのヘッダーが存在する場合、悪意のある Web サイトの隠しフォームなどではありません。
于 2012-04-30T15:40:20.860 に答える
1
Allow-Originヘッダーが許可的なもの (例: Allow-Origin:*)に設定されている場合、X-Requested-Byリクエスト フォージェリは防止されません。別のホストで実行されている JavaScript は、リクエスト フォージェリを可能にするリクエストを作成できます。
于 2012-12-25T07:09:34.700 に答える
1
node.js + バックボーンに固有のことは何も知りませんが、http://www.senchalabs.org/connect/middleware-csrf.htmlを使用できます(エクスプレスまたは接続互換のものを使用していると仮定します)。メタ タグなど、html のどこかにトークンを出力する必要があります。次に、バックボーン同期メソッドを変更してそのトークンをプルし、ヘッダー、クエリ、またはフォームを介して Express に渡すことができます。
于 2012-05-03T01:18:19.487 に答える