下面是我的MERN项目的文件结构。
|-Project
|- client
|- server
客户端文件夹包含一个反应服务器。客户端运行在localhost.client.com服务器文件夹包含用于node.js服务器的代码。服务器运行在localhost.server.com
[每当我从客户端向服务器发出请求时。如何减轻csrf攻击?确保对服务器的请求是来自客户端而不是其他任何来源。
为了确保只有您的应用程序可以使用服务器api,可以在Access-Control-Allow-Origin / OPTIONS响应标头中设置CORS值。
在开发过程中通常设置为Access-Control-Allow-Origin: *
对于生产,请指定您的域名/服务器名称Access-Control-Allow-Origin: localhost.client.com
为了防止欺骗来源,您可以使用(Anti-)CSRF-Tokens。这是附加到您的请求的附加值,用于验证您的请求。此值可以/应该保存在安全的cookie中。 csurf或JSON Web Tokens可能与您有关。在您的情况下,CSRF令牌可能需要对您的api进行额外的请求才能查询令牌。