我正在构建一个基本的 cors 代理,并且在一个用例中我需要通过管道传输请求,因此我想到将 pipe
与 Request.js
一起使用,如下图所示
我在安全方面不是那么专家。有人可以列出上述代码可能带来的安全影响吗?
最佳答案
如果您仔细观察,您会发现您客户的请求正在发送到 mysite.com (req.pipe(x);
)。 mysite.com 可以访问您客户的 cookie(它们与请求 header 一起发送)。如果它是恶意网站,他们可以使用这些 cookie 在您的网站上模仿您的用户。可以将其视为在登录 stackoverflow 后立即将您的计算机交给某人。此后,他们无需知道您的用户名和密码即可在 stackoverflow 上执行操作。提供 session cookie 基本上是同一件事。
关于node.js - req.pipe Nodejs 的安全影响,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59602208/