我使用backbone和node.js創建網站,並且不認爲默認情況下有針對CSRF的任何保護。在使用Node.js的骨幹網時,是否有一種標準的方式來對抗CSRF? 謝謝使用backbone和node.js的CSRF防禦
2
A
回答
4
您可以簡單地確保請求具有值爲XMLHTTPRequest
的X-Requested-By
標頭。 AJAX請求具有跨域限制,所以如果該標題存在,則它不是例如一個惡意網站上的隱藏表單。
2
我不知道任何特定的node.js +主幹,但您可以使用http://www.senchalabs.org/connect/middleware-csrf.html(假設您使用express或某些連接兼容)。您需要在您的html的某個位置輸出令牌,例如元標記。然後,您可以修改骨幹同步方法來拉取該令牌,並通過頭,查詢或表單傳遞它。
1
如果Allow-Origin
標頭設置爲寬容(例如,Allow-Origin:*
)X-Requested-By
不會阻止請求僞造。在其他主機上運行的任何JavaScript都將能夠製作仍然可以請求僞造的請求。
相關問題
- 1. 功能和防禦jquery
- 2. SQL注入防禦
- 3. DDOS攻擊:使用Thread.Sleep()進行防禦?
- 4. GWT RPC - 它是否足以抵禦CSRF?
- 5. 防禦性編程和異常處理
- 6. 防禦處理ActiveRecord :: RecordNotFound
- 7. swaping集防禦性副本
- 8. JS | Xss防禦問題
- 9. 使用GWT的RequestFactory時防止CSRF
- 10. 預防CSRF?
- 11. 防止CSRF?
- 12. 使用backbone和json
- 13. 在使用CORS時防止CSRF?
- 14. 使用Npgsql進行COPY查詢的防禦參數?
- 15. 控制服務的防禦代碼
- 16. 數子類的防禦性複製
- 17. 防禦性編程:Java中的指導
- 18. Erlang的非防禦性編程
- 19. 防止jQuery的CSRF和XSRF攻擊$ .post
- 20. 從Django爲Backbone生成CSRF令牌
- 21. 無法在IE9中使用jQuery防禦者
- 22. 你可以使用PHP Explode()來防禦注入攻擊嗎?
- 23. .Net 2.0的代碼合同和防禦性編程庫?
- 24. 從SQL注入獲得防禦的方法和技巧
- 25. 訪問數組和字典的防禦性措施
- 26. 的Java Play2-防止CSRF
- 27. WCF REST服務拒絕服務防禦
- 28. Apache2 mod_evasive vs mod_security與OWASP crs防禦DDOS?
- 29. 彩虹表:如何防禦他們?
- 30. perl防禦性編程(die,assert,croak)
是不是依靠瀏覽器來防止跨域的ajax請求? – dan
所有瀏覽器都會阻止它們。 – ThiefMaster
您不能依賴**常見的**瀏覽器停止該行爲的事實。它在客戶端完全* opt-in *並且**不可信任。如果我使用[zombie.js](http://zombie.labnotes.org)實施惡意客戶,該怎麼辦? –