我正在构建一个基本的cors代理,在其中一种用例中,我需要通过管道发送请求,因此我想到了将pipe
与Request.js
结合使用,如下图所示
我不是安全专家。有人可以从上面的代码中列出可能的安全隐患吗?
[如果您仔细看,您会发现客户的请求已发送到mysite.com(req.pipe(x);
)。 mysite.com可以访问您客户的cookie(它们与请求标头一起发送)。如果这是一个恶意网站,他们可以使用这些cookie来模仿您网站上的用户。可以将其视为登录到stackoverflow后立即向某人提供您的计算机。之后,他们不必知道您的用户名和密码即可在stackoverflow上进行操作。提供会话cookie基本上是一回事。