0
如何使用内置Express中间件实现HTTP GET请求来实现CSRF保护?如何在Express中实现GET请求的CSRF保护?
例如,用户注销通常通过GET请求进行,实际上改变了Web应用程序的状态,因此应该对CSRF进行保护。
不幸的是,CSRF中间件忽略了HTTP GET,并且不会导出助手来手动检查令牌。
A
回答
0
您可以创建不会忽略GET请求的Connect CSRF中间件的自定义分支。这样做的行是这里:https://github.com/senchalabs/connect/blob/master/lib/middleware/csrf.js#L76
但是,不要这样做。 GET请求是安全和幂等的:http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
换句话说,没有人担心恶意网站脚本可能会从网站注销它们。担心的是,它可能会以您的名义发布垃圾邮件或从您的银行账户转账。这就是您需要CSRF防范的原因。其它更多的信息在这里:http://en.wikipedia.org/wiki/Csrf
0
顺便说一句,他们现在暴露的明确设置忽略
app.use(csurf({ignoreMethods: ['HEAD', 'OPTIONS']}))
相关问题
- 1. 在Rails中使用HTTP GET请求进行CSRF保护
- 2. 是否需要CSRF保护免于副作用的GET请求?
- 3. CSRF保护GET链接
- 4. 子域POST请求 - CSRF保护?
- 5. 如何在Zend Framework 3中实现CSRF保护?
- 6. 如何在Laravel 5.2中使用Ajax实现CSRF保护
- 7. CSRF保护:为每个请求发送CSRF令牌的方法
- 8. 保护GET请求的好方法?
- 9. HOWTO在Struts2应用程序中为AJAX请求做CSRF保护
- 10. 使用MVC2的AJAX请求中的CSRF保护
- 11. TYPO3中的跨站点请求伪造(CSRF)保护
- 12. csrf的保护
- 13. 如何在ServiceStack中启用CSRF保护
- 14. CSRF保护如何工作?
- 15. Phoenix和CSRF的CSRF保护
- 16. 保护基于prototype.js的基于CSRF的XHR请求
- 17. 在Django Web应用程序中保护GET请求
- 18. CSRF对非形式邮寄请求的保护
- 19. 是否有必要保护针对CSRF的JAX-RS请求?
- 20. csrf保护
- 21. API CSRF保护
- 22. CSRF保护ExpressJS
- 23. 在Ajax请求中的CSRF
- 24. Tomcat中的CSRF保护
- 25. Django中的CSRF保护
- 26. Rest API中的CSRF保护
- 27. Tomcat中的CSRF保护7
- 28. IdentityServer4中的CSRF保护
- 29. 如何在direct_to_template上豁免CSRF保护
- 30. 保护ajax请求
处理每一个GET请求,绝对是一个坏主意,原因大多不改变状态(这方法的方式或幂等的,无论如何)。我想知道我是否可以在一个特定的情况下做到这一点。 – toogle
如果您担心恶意注销(我认为这不是一个现实的问题),那么您最好将其改为需要POST。 – dankohn