为什么Express 4中不推荐使用req.param()?
我理解这种反对意味着什么,但至于原因,我发现的唯一答案是 (什么是CGI ISM?) 这是一个性能问题,还是只是为了让事情变得更清楚?为我指明了正确的方向,导致反对的讨论可以在这里找到: 简而言之,不使用req.param()会使参数的来源变得明显,错误使用函数可能会导致安全问题: 也就是说,他们使用req.param('key')从主体中获取密钥,但是 他们没有意识到,它也检查了查询。这允许 对于XSS攻击,通过远程站点嵌入和 类似的 应用程序使用('/public/vendorInfo/:id',(请求,请求)=>{ }))为什么Express 4中不推荐使用req.param()?,express,Express,我理解这种反对意味着什么,但至于原因,我发现的唯一答案是 (什么是CGI ISM?) 这是一个性能问题,还是只是为了让事情变得更清楚?为我指明了正确的方向,导致反对的讨论可以在这里找到: 简而言之,不使用req.param()会使参数的来源变得明显,错误使用函数可能会导致安全问题: 也就是说,他们使用req.param('key')从主体中获取密钥,但是 他们没有意识到,它也检查了查询。这允许 对于XSS攻击,通过远程站点嵌入和 类似的 应用程序使用('/public/vendorInfo/:
const vatImage = req.param('vat_image');
res.sendFile(__dirname + '/public/vendorInfo/', id)