0
如何使用內置Express中間件實現HTTP GET請求來實現CSRF保護?如何在Express中實現GET請求的CSRF保護?
例如,用戶註銷通常通過GET請求進行,實際上改變了Web應用程序的狀態,因此應該對CSRF進行保護。
不幸的是,CSRF中間件忽略了HTTP GET,並且不會導出助手來手動檢查令牌。
A
回答
0
您可以創建不會忽略GET請求的Connect CSRF中間件的自定義分支。這樣做的行是這裏:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js#L76
但是,不要這樣做。 GET請求是安全和冪等的:http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
換句話說,沒有人擔心惡意網站腳本可能會從網站註銷它們。擔心的是,它可能會以您的名義發佈垃圾郵件或從您的銀行賬戶轉賬。這就是您需要CSRF防範的原因。其它更多的信息在這裏:http://en.wikipedia.org/wiki/Csrf
0
順便說一句,他們現在暴露的明確設置忽略
app.use(csurf({ignoreMethods: ['HEAD', 'OPTIONS']}))
相關問題
- 1. 在Rails中使用HTTP GET請求進行CSRF保護
- 2. 是否需要CSRF保護免於副作用的GET請求?
- 3. CSRF保護GET鏈接
- 4. 子域POST請求 - CSRF保護?
- 5. 如何在Zend Framework 3中實現CSRF保護?
- 6. 如何在Laravel 5.2中使用Ajax實現CSRF保護
- 7. CSRF保護:爲每個請求發送CSRF令牌的方法
- 8. 保護GET請求的好方法?
- 9. HOWTO在Struts2應用程序中爲AJAX請求做CSRF保護
- 10. 使用MVC2的AJAX請求中的CSRF保護
- 11. TYPO3中的跨站點請求僞造(CSRF)保護
- 12. csrf的保護
- 13. 如何在ServiceStack中啓用CSRF保護
- 14. CSRF保護如何工作?
- 15. Phoenix和CSRF的CSRF保護
- 16. 保護基於prototype.js的基於CSRF的XHR請求
- 17. 在Django Web應用程序中保護GET請求
- 18. CSRF對非形式郵寄請求的保護
- 19. 是否有必要保護針對CSRF的JAX-RS請求?
- 20. csrf保護
- 21. API CSRF保護
- 22. CSRF保護ExpressJS
- 23. 在Ajax請求中的CSRF
- 24. Tomcat中的CSRF保護
- 25. Django中的CSRF保護
- 26. Rest API中的CSRF保護
- 27. Tomcat中的CSRF保護7
- 28. IdentityServer4中的CSRF保護
- 29. 如何在direct_to_template上豁免CSRF保護
- 30. 保護ajax請求
處理每一個GET請求,絕對是一個壞主意,原因大多不改變狀態(這方法的方式或冪等的,無論如何)。我想知道我是否可以在一個特定的情況下做到這一點。 – toogle
如果您擔心惡意註銷(我認爲這不是一個現實的問題),那麼您最好將其改爲需要POST。 – dankohn