堆棧內存溢出
  簡體   English   中英

req.pipe nodejs 上的安全隱患

[英]Security Implication on req.pipe nodejs

 原文  2020-01-05 17:05:38       node.js/ security/ requestjs

問題描述

我正在構建一個基本的 cors 代理,並且在我需要管道請求的用例之一中,所以我想到將pipeRequest.js一起使用,如下圖所示在此處輸入圖片說明

我不是安全方面的專家。 有人可以從上面的代碼中列出可能的安全隱患嗎?

1 個解決方案

解決方案1
 2 已采納  2020-01-05 21:13:42

如果您仔細觀察,您會注意到您的客戶的請求正在發送到 mysite.com ( req.pipe(x); )。 mysite.com 可以訪問您客戶的 cookie(它們與請求標頭一起發送)。 如果是惡意網站,他們可以使用這些 cookie 在您的網站上模仿您的用戶。 可以將其視為在登錄 stackoverflow 后立即將您的計算機交給某人。 之后,他們不必知道您的用戶名和密碼就可以在 stackoverflow 上執行操作。 給你的會話 cookie 基本上是一樣的。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 NodeJ:請求管道緩慢 req.pipe(…)不在heroku上觸發 express req.pipe()不起作用 如何使用功能,類和req.pipe對快速應用進行模塊化? 如何擺脫“TypeError:req.pipe is not a function”nestjs和fastify 什么是 Axios 相當於 req.pipe(request()) / Pipe 將請求數據表達為 Axios 請求 如何在Node.js中使用req.pipe發送自定義響應 我無法使用 fs.createWriteStream 和 req.pipe 上傳文件 Node.js req.params為[] NodeJS Strange Req參數
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM