expressjs中附加的请求可以被篡改吗?
在express.js中,我们经常将对象附加到中间件中的req对象,例如req.myObject。 什么阻止发送包含req.myObject的http请求的用户已设置为某个值? 例如,我可以使用req.myObject作为身份validation的一部分。 当发送请求的时候,用户是否可以设置req.myObject = true? 如果在某些路由上设置req.myObject而不是其他设备,但检查req.myObject的中间件是跨路由重新使用的,则可能存在问题。
req
是收到请求时由Express创build的对象。 这不是直接从客户端传递到服务器,事实上,它甚至不提供给客户端。
一个客户端只能通过一些有限的方式将信息传递给服务器 – GET请求,POST表单数据或者通过Express连接到req
对象的路由path分别作为req.query
, req.body
和req.params
。
任何附加到req
对象的东西都不在客户端的范围之内,至less是直接的。
相关问题: Node.js请求对象文档?