私はバックボーンとnode.jsを使用してWebサイトを作成していますが、デフォルトではCSRFに対する保護はないと考えています。 node.jsでバックボーンを使用する場合、CSRFに対抗する標準的な方法がありますか? ありがとうバックボーンとnode.jsを使用したCSRF防御
2
A
答えて
4
単にXMLHTTPRequest
の値を持つX-Requested-By
ヘッダーがあることを確認できます。 AJAXリクエストにはドメイン間の制限があるため、そのヘッダーが存在する場合はAJAXリクエストはそうではありませんでした。悪意のあるWebサイトの隠れたフォーム
2
node.js +バックボーンに固有のことはわかりませんが、http://www.senchalabs.org/connect/middleware-csrf.html(あなたがexpressまたは何かのconnect-compatibleを使用していると仮定します)を使用できます。メタタグのように、HTMLのどこかにトークンを出力する必要があります。次に、バックボーンの同期方法を変更して、そのトークンを取得し、ヘッダー、クエリ、またはフォームを介して表現することができます。
1
Allow-Origin
ヘッダーが何らかの許容値(たとえば、Allow-Origin:*
)に設定されている場合、X-Requested-By
は要求偽造を防止しません。別のホストで実行されているjavascriptは依頼依頼を可能にするリクエストを作成することができます。
関連する問題
- 1. ArdiunoとNode.jsを使用したステッパーモーターの制御
- 2. Npgsqlを使用したCOPYクエリの防御パラメータ?
- 3. CORSの使用中にCSRFを防止しますか?
- 4. バックボーンを使用したテンプレートのロードjs
- 5. バックボーン・マリネット・ルーターを使用したクエリー・ストリング
- 6. バックボーンを使用した画像のキャッシュモデル
- 7. バックボーンを使用したSAML認証SPA
- 8. extend()アンダースコアとバックボーンを使用して
- 9. SPAを使用したCSRFトークン
- 10. CSRF Spring Securityを使用した保護
- 11. CSRFフォームトークンの使用は、スパム防止に役立ちますか?
- 12. node.jsとsocket.ioを使用したプライベートチャット
- 13. Node.js expressとsocket.ioを使用したマルチプレイヤーゲーム
- 14. Node.js Telnetを使用したクライアントとサーバーゲーム
- 15. IISとNode.jsを使用したAngular2
- 16. csurf(Node.js)を使用してcsrfトークンを検証できません
- 17. 防御攻撃
- 18. Node.jsを使用したテストオートメーション
- 19. node.jsを使用したウェブスクレイピングサイト
- 20. node.jsを使用したトランスレータとしてのダーツの使用
- 21. Spring 3.2.8アプリケーションでcsrfを防止する
- 22. Node.jsからDjangoにCSRFトークンを渡す
- 23. バックボーン使用のためのジェイドテンプレート
- 24. csrfトークンの使用
- 25. サーバー側でAjaxとWeb Apiを使用してWebフォームでCSRFを防止する
- 26. カスタムAJAXフォーム提出のCSRFの防止
- 27. CSRFリクエストの防止 - SameSite not work
- 28. clusterDNSを使用したトラフィック制御
- 29. キーボードを使用した制御ロボット
- 30. HTML :: Templateを使用した制御ロジック
クロスドメインのajaxリクエストを妨げるブラウザに依存していませんか? – dan
すべてのブラウザがそれらを防ぎます。 – ThiefMaster
**一般的な**ブラウザがその動作を停止するという事実に依存することはできません。クライアント側では完全に* opt-in *であり、**信頼できるものではありません。 [zombie.js](http://zombie.labnotes.org)で悪意のあるクライアントを実装した場合はどうなりますか? –