作者:Gbom2402851125 | 来源:互联网 | 2023-09-16 10:51
DESC
csrf模块,针对Ajax请求,也应区分Get和Post
ENV
Platform:Windows
Node.js Version:4.2.4
ThinkJS Version:2.2.1
我查看midware中的csrf模块源代码时,发现将Ajax和Post,jsonp请求都做csrf验证。然而事实上一般来讲,ajax也分get和post的,在get时不需要csrf验证。
该提问来源于开源项目:thinkjs/thinkjs
很多漏洞都是人为的漏洞,乌云上也有相关的实例,我的建议还是严格比较好