Express 节点快速路由处理程序——告诉用户是单击链接发出请求还是手动键入URL栏?
我有一个路由请求处理程序,它接受一个请求参数,该参数应该与数据结构中的一个键匹配……当找到该键对应的对象时,请求者获得对该对象的访问权 问题是,只有当即将获得访问权限的用户单击通过邀请通过电子邮件发送给他们的生成链接时,才应该真正触发请求处理程序——没有任何东西可以阻止随机用户幸运地猜测唯一密钥可能是什么,并在他们实际上不知道的情况下获得对对象的访问权限邀请 这是我的密码:Express 节点快速路由处理程序——告诉用户是单击链接发出请求还是手动键入URL栏?,express,Express,我有一个路由请求处理程序,它接受一个请求参数,该参数应该与数据结构中的一个键匹配……当找到该键对应的对象时,请求者获得对该对象的访问权 问题是,只有当即将获得访问权限的用户单击通过邀请通过电子邮件发送给他们的生成链接时,才应该真正触发请求处理程序——没有任何东西可以阻止随机用户幸运地猜测唯一密钥可能是什么,并在他们实际上不知道的情况下获得对对象的访问权限邀请 这是我的密码: app.get('/:creator', function (req, res) { var path = req.p
app.get('/:creator', function (req, res) {
var path = req.params.creator.toLowerCase();
for(booth in boothList) {
var boothID = boothList[booth].creator.toLowerCase();
if (path == boothID) {
res.sendFile(__dirname+'/public/index.html');
}
}
});
http://www.myappsite.com/Mehttp://www.myappsite.com/Me如何确保不会发生这种情况?您将始终依赖于链接本身的大小。更大的和随机创建的名字很难猜测和发现只是使用蛮力作为攻击向量。如果你让你的用户选择自己的名字,他们可能会选择简短易懂的名字,同样的名字也很容易通过简单的字典攻击猜出来。除非您开始使用其他数据来验证传入的请求(如ip地址等),否则您无法对此进行大量处理 您可以增加生成链接的大小,使其更难猜测。例如,用户为其密钥选择名称
foohttps://example.com/SRJsWVTxIxYAcPErxwqG7h/foo