Node.js Web 跨域

2021-06-01 10:02 更新

1.8.1 【必須】限定JSONP接口的callback字符集范圍

  • JSONP接口的callback函數(shù)名為固定白名單。如callback函數(shù)名可用戶自定義,應限制函數(shù)名僅包含 字母、數(shù)字和下劃線。如:[a-zA-Z0-9_-]+

1.8.2 【必須】安全的CORS配置

  • 使用CORS,應對請求頭Origin值做嚴格過濾、校驗。具體來說,可以使用“全等于”判斷,或使用嚴格的正則進行判斷。如:^https://domain\.qq\.com$

  1. // good:使用全等于,校驗請求的Origin
  2. if (req.headers.origin === 'https://domain.qq.com') {
  3.     res.setHeader('Access-Control-Allow-Origin', req.headers.origin);
  4.     res.setHeader('Access-Control-Allow-Credentials', true);
  5. }

關聯(lián)漏洞:中風險 - XSS,中風險 - CSRF,中風險 - CORS配置不當

以上內(nèi)容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號