expressjs中附加到请求的对象是否可以被篡改
Can objects attached to requests in expressjs be tampered with?
在express.js中,我们经常将对象附加到中间件中的req对象,例如req.myObject。是什么阻止用户发送包含已设置为某个值的req.myObject的http请求?例如,我可以使用req.myObject作为身份验证的一部分。用户在发送请求时是否可以将req.myObject=true设置为false?如果在某些路由上设置了req.myObject,但在其他路由上没有设置,则可能会出现问题,但检查req.myObject的中间件会跨路由重新使用。
req是Express在收到请求时创建的对象。它不是从客户端直接传递到服务器的东西,事实上它甚至对客户端都不可用。
客户端只能以某些有限的方式将信息中继到服务器——GET查询、POST表单数据或路由路径,这些路径通过Express分别作为req.query、req.body和req.params附加到req对象。
附加到req对象的任何其他内容都不在客户端的范围内,至少是直接的。
相关问题:Node.js请求对象文档?
相关文章:
- 为什么不推荐使用“with”?是否有更好或其他方法可以“下降”到对象的命名空间
- 遍历 JSON 对象并检查 URL 是否以某个值结尾
- 验证会话中是否存在对象's数组
- JS数组-检查对象值是否重复
- 如何检查数组中的对象是否等于选项值
- IndexedDB对象键:大小是否重要
- 测试对象是否相等和/或对象是否有更多的关键点,但仍然与共同的关键点相等
- 确定javascript中的html表对象是否具有<colgroup>是否
- 验证对象是否为null Javascript/Angularjs
- 使用js/jQuery检查对象(而不是元素)是否真的存在
- 确定var是否是javascript中的elementFinder对象的方法是什么
- 如何通过json对象选项卡中的Id来检查对象是否存在
- 是否可以在javascript中反序列化java对象
- 尝试简化检查对象键是否为true并将其推送到另一个对象
- jQuery-检测选择对象是否添加或删除了选项
- 将对象从另一个不可变的Map分配给Map是否意味着深度克隆
- 查找对象数组是否包含其中一个标记的最快方法
- 检查对象是否是mongo游标
- 检查对象的所有属性是否未定义
- JavaScript对象作为哈希?复杂性是否大于O(1)
