简单 Hybrid App 后端如何防止 CSRF,另外验证码如何实现?
发布于 11 年前 作者 imWildCat 5877 次浏览 最后一次编辑是 8 年前

还是打算参加比赛的项目,给自己学校做的App,后端用node.js(Express),客户端主要是Hybrid App。

打算还是用比较传统的cookie+session做用户状态保持,目前有几个问题需要请教: 1.用户提交数据时(例如登录、发帖场景),是否还需要CSRF Token? 若需要,如何实现(目前我只想到了用户进去发帖视图时执行一次http请求,请求token) 2.验证码如何实现(打算做一个“压力控制”,防止广告和灌水。检测用户发帖间隔,少于一定时间就要求填写验证码。但是这个验证码什么时候去请求?比如请求CSRF token的时候,顺便返回一个是否需要验证码的值?比如{“once”: “ThisIsCSRFToken”, needCaptcha: true}) 3.关于防广告、灌水,v2的机制(铜币)似乎不错,但是对于一个学校App是否太重? 4.我是不是想太多了-_-#

请前辈们赐教,如果能提供一些node.js包减少我要造的轮子就更感谢了~!

2 回复

遇到类似的问题,还没找到答案,楼主解决了么?

好问题! 可惜现在半夜了,大脑转不动了…

回到顶部