req.pipe nodejs 的安全隐患
Security Implication on req.pipe nodejs
我正在构建一个基本的 cors 代理,并且在一个用例中我需要管道请求,所以我想到了使用 pipe 和 Request.js 如下图所示
我在安全方面不是很专业。有人可以列出上述代码可能带来的安全隐患吗?
如果仔细观察,您会注意到您的客户的请求正在发送到 mysite.com (req.pipe(x);)。 mysite.com 可以访问您客户的 cookie(它们随请求一起发送 headers)。如果是恶意网站,他们可以使用这些 cookie 在您的网站上模仿您的用户。可以把它想象成在登录到 Whosebug 后立即将您的计算机交给某人。之后他们不必知道您的用户名和密码就可以在 Whosebug 上做事。给你 session 饼干基本上是一回事。
我正在构建一个基本的 cors 代理,并且在一个用例中我需要管道请求,所以我想到了使用 pipe 和 Request.js 如下图所示
我在安全方面不是很专业。有人可以列出上述代码可能带来的安全隐患吗?
如果仔细观察,您会注意到您的客户的请求正在发送到 mysite.com (req.pipe(x);)。 mysite.com 可以访问您客户的 cookie(它们随请求一起发送 headers)。如果是恶意网站,他们可以使用这些 cookie 在您的网站上模仿您的用户。可以把它想象成在登录到 Whosebug 后立即将您的计算机交给某人。之后他们不必知道您的用户名和密码就可以在 Whosebug 上做事。给你 session 饼干基本上是一回事。