cluster模块和express一起用的话如何保持csrf值呢?
如果是单进程的话req.session._csrf
是不会变,但如果在多进程下这个req.session
就不那么安分了,会随时刷新…
6 回复
不是很懂……
放memecha之类的里面
不知道express的csrf实现, 不过其实可以放到浏览器cookie里 设置成http-only 客户端取不到就行
hack下req对象 _csrf直接从cookie里取就行了
sessionStore 设置成 mongodb , redis 这种应该就可以了吧
我试试
待我试一试,原来用过mongodb来存session,但有个小问题,session里数据变化不一定都是准确的,一次请求中我把一个数字减1,下次请求还是原来的样子,这个问题也困扰我很久…