0
將用戶數據保存到req.user和req.passport中是否安全?瀏覽器是否易於訪問和閱讀第三方?NODE護照HTTP請求
我正在使用req.user通過ID檢查貓鼬條目是否屬於來自req.user的用戶。我擔心的是,如果可以從瀏覽器訪問req.user和req.passport,那麼很容易操縱POST請求並跳過我的驗證。
問候, AA
A
回答
0
假設你使用的護照快遞,然後護照根本不提供任何用戶信息到瀏覽器。
這種方式通常會起作用的是,當客戶端首次聯繫您的服務器時,唯一的加密會話ID將被放入cookie中,這是所有瀏覽器都能看到的。 sessionID是服務器端存儲的關鍵,它提供對用戶會話信息的服務器端訪問。除非服務器通過將其中的某些數據放入網頁或公開端點來查詢,否則這些信息在瀏覽器端都不可用。
相關問題
- 1. 保護http請求的URL
- 2. http請求保護android
- 3. 如何全局使用Node http請求
- 4. node-http-proxy設置img請求標題
- 5. RESTful Node.js護照-http:
- 6. http請求的HTTP請求
- 7. 保護HTTP請求免遭篡改
- 8. 在Python中保護HTTP請求
- 9. 保護HTTP請求的部分內容?
- 10. 使用json保護http請求(android)
- 11. 如何使用node-http-proxy代理所有HTTP請求
- 12. Sails JS護照http 401
- 13. 護照req.isAuthenticated在使用角度$ http請求時總是返回false
- 14. 獲取密碼授權令牌沒有Laravel護照的http請求
- 15. 通過護照申請Heroku的請求超時
- 16. Node JS - 構建OAuth2請求
- 17. Node Express掛起請求
- 18. 使用MongoDB/Mongoose在Node中執行HTTP POST請求?
- 19. node http-proxy:異步修改請求主體
- 20. 如何在Node/Express.js中禁用HTTP請求日誌
- 21. 如何爲傳出請求配置node-http-proxy?
- 22. 在Node-Red中處理HTTP請求中的MQTT通信
- 23. 如何處理在Node中發送多個http請求?
- 24. Express.JS + Node-Mysql和每個http請求1個連接
- 25. Node-RED HTTP請求節點和字符串參數
- 26. Node http請求中的數據塊的類型
- 27. 保護ajax請求
- 28. 保護AJAX請求
- 29. C#HTTP請求
- 30. HTTP GET請求()
謝謝你的回答。據我所知,只有會話ID在瀏覽器中可見並存儲在cookie中。因此,即使我在req.passport和req.user中看到用戶ID和用戶名,這意味着它只存儲在服務器端? – Tomek
@Tomek - 是的,這是正確的。 – jfriend00
在向我的網站發佈請求之前,任何人都可以更改req.passport和req.user數據嗎?例如更改用戶ID? – Tomek