expressjs中附加的请求可以被篡改吗?

在express.js中,我们经常将对象附加到中间件中的req对象,例如req.myObject。 什么阻止发送包含req.myObject的http请求的用户已设置为某个值? 例如,我可以使用req.myObject作为身份validation的一部分。 当发送请求的时候,用户是否可以设置req.myObject = true? 如果在某些路由上设置req.myObject而不是其他设备,但检查req.myObject的中间件是跨路由重新使用的,则可能存在问题。

req是收到请求时由Express创build的对象。 这不是直接从客户端传递到服务器,事实上,它甚至不提供给客户端。

一个客户端只能通过一些有限的方式将信息传递给服务器 – GET请求,POST表单数据或者通过Express连接到req对象的路由path分别作为req.queryreq.bodyreq.params

任何附加到req对象的东西都不在客户端的范围之内,至less是直接的。

相关问题: Node.js请求对象文档?

Interesting Posts

通过express js和bodyParser来保护file upload器

保护node.js restful API

请求服务器日志中的第三方网站

请求反馈:使用客户端复制(pouchdb)为多个用户/帐户设置Couchdb

反向代理是否使node.js安全?

nodejs作为http服务器有多健壮?

简单的会话cookievalidation系统有多安全?

使用NodeJS服务器devise移动身份validation

如何安全地存储和使用客户的AWS密钥

产品生态系统中的身份validation和授权