express中設置cookie的httpOnly屬性防禦xss攻擊

原創 shidaping 2020-02-20 19:39

大部分是xss攻擊(跨站腳本攻攻擊),都是嘗試在客戶的瀏覽器中注入腳本,然後獲取cookie發送到黑客指定的地址。因爲服務端的session都是通過一個記錄seesionId的cookie來識別的。黑客拿到了cookie, 自然就能夠僞造身份,進而獲取到權限。cookie的httpOnly屬性意味着,瀏覽器中不能通過document.cookie訪問到這個cookie,從而達到防禦xss攻擊的目的。

在express-session中,默認已經開啓了cookie的httpOnly: true,原文說明如下

cookie.httpOnly

Specifies the boolean value for the HttpOnly Set-Cookie attribute. When truthy, the HttpOnly attribute is set, otherwise it is not. By default, the HttpOnly attribute is set.

但是express本身提供的cookie的api默認值卻是false, 需要手動設置爲true. 代碼如下: 

res.cookie('rememberme', '1', {httpOnly: true });


shidaping
發佈了97 篇原創文章 · 獲贊 18 · 訪問量 29萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

怎樣讓div中的字上下左右居中

<div style="height: 30px;line-height: 30px;text-align: center;"> 讓我居中 </div>使line-height和height一樣就能讓字上下居中

shaochengand 2020-07-08 11:56:57

TOMCAT下配置項目路徑

對工程的部署一般是將工程的壓縮文件放在tomcat安裝目錄的webapps下,訪問時通過鍵入:http://localhost:8080/xx(假定爲本機訪問,xx是部署時的應用工程的訪問名字)。 而如果直接鍵入:http://loca

shaochengand 2020-07-08 11:56:57

使用skopeo同步鏡像

1. 介紹 如今大部分服務的交付都是通過鏡像進行交付的, 例如: 私有化部署場景, 需要將打好的鏡像放到客戶的CR(容器鏡像倉庫)中, 或者我們有多個環境(dev, test, staging, prod)每個環境因爲隔離都會保存一份鏡像用

原創 2024-06-13 11:54:45

如何使用前端表格控件實現數據更新?

前言 小編之前分享過一篇文章叫《如何使用前端表格控件實現多數據源整合?》(可以放上文章的鏈接)。今天,繼續爲大家介紹如何使用前端表格控件來更新已連接的數據源信息。 環境準備 SpreadJS在線表格編輯器: SpreadJS 前端表格控件新

原創 2024-06-11 10:45:05

前端面試題 - Node JS與V8是什麼關係?

前端面試題 - Node JS與V8是什麼關係? V8 引擎是 Node.js 的核心組成部分,負責執行 JavaScript 代碼, 而 Node.js 爲 V8 提供了一個運行環境和API,使其能夠在服務器端運行。 通俗易懂的前端面試題

原創 2024-05-16 12:41:41

「實戰應用」如何用圖表控件LightningChart創建2D氣泡圖

LightningChartJS是Web上性能特高的圖表庫,具有出色的執行性能 - 使用高數據速率同時監控數十個數據源。 GPU加速和WebGL渲染確保您的設備的圖形處理器得到有效利用,從而實現高刷新率和流暢的動畫,常用於貿易,工程,航空航

原創 2024-04-25 11:36:06

前端面試題 - NodeJS能用ES6模塊嗎?CommonJS 和 ES6模塊的區別是什麼?

前端面試題 - NodeJS能用ES6模塊嗎?CommonJS 和 ES6模塊的區別是什麼? JS能寫前端web,也能寫NodeJS。 Node.js 後端應用由模塊組成,其模塊系統採用 CommonJS 規範,它並不是 JavaScri

原創 2024-04-24 23:51:06

推薦一個下載nodejs的地址

清華大學鏡像地址   https://mirrors.tuna.tsinghua.edu.cn/nodejs-release/v14.15.0/   還有一個地址,看名字像是官方的 https://registry.npmmirror.co

原創 2024-04-18 22:14:15

JSON Stream

1. 需求背景 在日常開發中經常會遇到大對象或者大文件處理, 比如在nodejs開發中, 一個算法包可能範圍了一個長度爲好幾萬長度的一個對象, 這個對象使用Restful API不好傳遞, 肯定會把這個處理結果保存爲文件, 然後通過通過文件

原創 2024-04-12 23:17:15

「實戰應用」如何用圖表控件LightningChart創建JS堆疊條形圖?

LightningChartJS是Web上性能特高的圖表庫,具有出色的執行性能 - 使用高數據速率同時監控數十個數據源。 GPU加速和WebGL渲染確保您的設備的圖形處理器得到有效利用,從而實現高刷新率和流暢的動畫,常用於貿易,工程,航空航

原創 2024-04-10 11:34:32

不同項目要求不同的node版本-- Node 版本管理——NVM

解決問題:我有個舊的vue2的項目使用的事node的版本比較低才能使用,可是現在最新的react要求的node的版本必須是16起。 答:使用Node的管理工具(NVM ),可以自由切換不同的Node.js版本。 nvm (Node Vers

DY-Tao 2024-03-21 21:13:21

HarmonyOS-安裝篇(DevEco Studio)

一、下載 可通過官網下載: https://developer.harmonyos.com/cn/develop/devevo-studio 二、安裝(經過實踐了)             

原創 2024-03-12 00:39:32

解讀 EventBridge Transform,數據轉換和處理的靈活能力

阿里雲 EventBridge 提供了強大而靈活的事件總線服務,它可以連接應用程序、阿里云云服務和阿里雲 Serverless 服務來快速構建 EDA(Event-driven Architectures)事件驅動架構,驅動應用與應用,應用

原創 2024-02-20 01:34:42

go c nodejs csharp 可能不太準確的性能測試

斐波那契數列 (百度百科) 斐波那契數列(Fibonacci sequence),又稱黃金分割數列、因數學家列昂納多·斐波那契(Leonardoda Fibonacci)以兔子繁殖爲例子而引入,故又稱爲“兔子數列”,指的是這樣一個

whitehack 2020-07-08 12:33:27

後端 Java 程序員眼中的 Vue——(一)創建及運行

現在 Vue 用的越來越多,工作上有時前後端都要搞,作爲後端程序員接手 Vue 該如何做呢,下面來記錄一下基礎的東西,並創建一個 Vue 項目 談 Vue 不能避開的 3 個東西 Node.js npm vue-cli No

厕所博士 2020-07-08 11:50:38