要求管道节点js的安全隐含
问题描述 投票:1回答:1
我正在构建一个基本的cors代理,在其中一种用例中,我需要通过管道发送请求,因此我想到了将pipe与Request.js结合使用,如下图所示
我不是安全专家。有人可以从上面的代码中列出可能的安全隐患吗?
1个回答
0
投票
投票
[如果您仔细看,您会发现客户的请求已发送到mysite.com(req.pipe(x);)。 mysite.com可以访问您客户的cookie(它们与请求标头一起发送)。如果这是一个恶意网站,他们可以使用这些cookie来模仿您网站上的用户。可以将其视为登录到stackoverflow后立即向某人提供您的计算机。之后,他们不必知道您的用户名和密码即可在stackoverflow上进行操作。提供会话cookie基本上是一回事。
最新问题
- Pusher 控制台未收到事件
- Vision Pro 全沉浸模式 (URP) 中的后处理 Bloom 问题
- 开发工具中硬盘上找不到的CSS文件是什么?
- 如何使用 API 调用获取已执行的管道详细信息(原始日志/输出)
- 从 Windows 应用程序访问 Azure 中托管的 SQL 数据库
- 从 `#[test]` 代码中查找当前的 Rust cdylib 文件
- 在 Android 上使用 Expo 设置 Detox
- 查找具有重复值的字典键
- 为什么我不能在这个查询中使用GROUP BY
- 在 Laravel Filament 中使用 Leaflet Control Geocoder 时出现“geocoder undefined”错误
- 文件中的 BIRT 数据库连接详细信息
- 处理 .ipynb 单击事件以在 JupyterLab 中并排视图中打开链接文档
- Spring Batch 5:失败原因:java.time.format.DateTimeParseException:无法在索引 0 处解析文本“日期”
- 在ExpandableTile flutter中添加分隔符颜色为null
- 弃用警告:旧版 JS API 已弃用,并将在 Dart Sass 2.0.0 中删除。在运行 vitest 时
- 向 /oauth2/authorize 发送请求时如何使用 JWT 验证资源所有者?
- azure databricks 计算所有表中的行数 - 有没有更好的方法
- 同样的命令直接在Linux服务器上执行时可以完美运行,但是当使用selenium时从Java程序调用时会失败
- android paging 3.0为recyclerview切换两个流程
- 如何仅在指定时间过后才调用方法?
© www.soinside.com 2019 - 2024. All rights reserved.