編輯頁面
Socket 劫持
很遺憾的是,跨站請求偽造攻擊不僅限於 HTTP 協定。WebSocket 劫持 (有時稱為 CSWSH) 是大多數即時應用程式中經常被忽略的漏洞。幸運的是,由於 Sails 將 HTTP 和 WebSocket 請求都視為一等公民,因此其內建的 CSRF 保護 和 可設定的 CORS 規則集 同樣適用於這兩種協定。
您可以透過在 config/security.js 中啟用內建保護,並確保所有相關的連入 socket 請求都隨附 _csrf 令牌,來為您的 Sails 應用程式做好防範 CSWSH 攻擊的準備。此外,如果您計劃允許 socket 從跨來源 (即來自不同的網域、子網域或埠) 連線到您的 Sails 應用程式,則需要相應地設定您的 CORS 設定。您也可以在 config/sockets.js 中定義 authorization 設定為自訂函數,該函數可以根據您的需求允許或拒絕初始 socket 連線。
注意事項
- CSWSH 預防僅在人們使用相同的用戶端應用程式將 socket 連接到多個 Web 服務的場景中才需要關注 (例如,Google Chrome 等瀏覽器中的 Cookie 可用於從 Chase.com 和 Horrible-Hacker-Site.com 將 socket 連接到 Chase.com)。
為了在 sailsjs.com 上獲得更好的體驗,更新您的瀏覽器。
概念
以愛打造
Sails 框架由奧斯汀的 網頁和行動應用商店 建構,並在我們的貢獻者協助下完成。我們在 2012 年創建 Sails,以協助我們進行 Node.js 專案。自然而然地,我們將其開源。我們希望它能讓您的生活更輕鬆一點!
© 2012-2024 The Sails Company.
Sails 框架在 MIT 許可下是免費且開源的。
插圖由 Edamame 提供。