简单 Hybrid App 后端如何防止 CSRF,另外验证码如何实现?
还是打算参加比赛的项目,给自己学校做的App,后端用node.js(Express),客户端主要是Hybrid App。
打算还是用比较传统的cookie+session做用户状态保持,目前有几个问题需要请教: 1.用户提交数据时(例如登录、发帖场景),是否还需要CSRF Token? 若需要,如何实现(目前我只想到了用户进去发帖视图时执行一次http请求,请求token) 2.验证码如何实现(打算做一个“压力控制”,防止广告和灌水。检测用户发帖间隔,少于一定时间就要求填写验证码。但是这个验证码什么时候去请求?比如请求CSRF token的时候,顺便返回一个是否需要验证码的值?比如{“once”: “ThisIsCSRFToken”, needCaptcha: true}) 3.关于防广告、灌水,v2的机制(铜币)似乎不错,但是对于一个学校App是否太重? 4.我是不是想太多了-_-#
请前辈们赐教,如果能提供一些node.js包减少我要造的轮子就更感谢了~!
2 回复
遇到类似的问题,还没找到答案,楼主解决了么?
好问题! 可惜现在半夜了,大脑转不动了…