Apabila aplikasi web berkembang dan menjadi lebih kompleks, permintaan merentas domain menjadi lebih kerap. Ringkasnya, permintaan merentas domain bermaksud menghantar permintaan dari satu halaman atau nama domain ke nama domain yang lain. Permintaan merentas domain bukanlah perkara yang baik dalam hal keselamatan, kerana ia boleh digunakan untuk menyebabkan isu keselamatan. Dalam artikel ini, kami akan meneroka cara menyediakan larangan merentas domain dengan Node.js.
Apakah itu merentas domain
Permintaan merentas domain bermaksud halaman daripada satu nama domain meminta sumber daripada nama domain yang lain. Sebagai contoh, jika anda cuba memuatkan http://test2.com/image.jpg pada halaman http://test1.com, ia akan menyebabkan permintaan merentas domain. Dalam penyemak imbas web, permintaan merentas domain adalah dilarang secara lalai. Seperti yang ditunjukkan dalam imej di bawah, permintaan daripada domain yang berbeza disekat.
Ini adalah ciri yang sangat baik apabila ia berkaitan dengan keselamatan. Kerana jika pengguna berniat jahat dapat menghantar permintaan ke tapak web lain, maka mereka boleh menyerang tapak web tersebut dan mendapatkan maklumat yang berpotensi sulit. Oleh itu, penyemak imbas melarang permintaan silang asal melainkan dibenarkan secara jelas.
Cara mengharamkan permintaan merentas domain
Sekarang mari kita lihat cara melarang permintaan merentas domain menggunakan tetapan Node.js. Untuk melarang permintaan merentas domain, kami perlu mengkonfigurasi sesuatu pada bahagian pelayan. Di bawah ialah contoh mudah yang menunjukkan cara untuk melumpuhkan permintaan silang asal menggunakan Node.js.
const express = require('express'); const cors = require('cors'); const app = express(); // 允许只来自example.com的跨域请求 const corsOptions = { origin: 'http://example.com', optionsSuccessStatus: 200 }; app.use(cors(corsOptions)); // ... 其他路由 app.listen(3000, () => { console.log('Server listening on port 3000.'); });
Dalam contoh ini, kami menggunakan rangka kerja Express dan perisian tengah CORS untuk mengkonfigurasi pelayan untuk melarang permintaan silang asal. Mula-mula, kami mentakrifkan objek corsOptions
, di mana atribut origin
menentukan permintaan domain dari mana nilainya boleh menjadi rentetan yang mewakili satu domain atau fungsi untuk membenarkan berbilang domain.
Kami kemudiannya menggunakan perisian tengah CORS pada aplikasi Express kami. Perisian tengah ini akan menyemak semua permintaan masuk dan memasukkan pengepala Access-Control-Allow-Origin
dalam respons jika ia datang dari domain yang dibenarkan.
Menggunakan kod di atas, kami hanya membenarkan permintaan daripada http://example.com
dan mengembalikan 200 kod status untuk menunjukkan kejayaan. Jika permintaan mengandungi domain sumber haram, pelayan akan mengembalikan kod status 403 untuk menolak permintaan tersebut.
Perlu diingatkan bahawa jika kita menggunakan protokol atau nombor port yang berbeza, ia juga akan dianggap sebagai nama domain yang berbeza. Contohnya: http://example.com
dan https://example.com
, atau http://example.com
dan http://example.com:3000
.
Kesimpulan
Dalam artikel ini, kami mengetahui apa itu asal silang dan sebab ia perlu diharamkan. Kami juga memperkenalkan cara untuk menyediakan kaedah untuk melumpuhkan permintaan silang asal menggunakan Node.js dan memberikan contoh lengkap. Ini ialah cara yang bijak dan selamat untuk memastikan aplikasi web anda dilindungi daripada ancaman serangan merentas domain.
Atas ialah kandungan terperinci Tetapan Nodejs melarang merentas domain. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!