Nodejs-Einstellungen verbieten domänenübergreifendes Arbeiten

Da sich Webanwendungen weiterentwickeln und komplexer werden, werden domänenübergreifende Anfragen häufiger. Einfach ausgedrückt bedeutet eine domänenübergreifende Anfrage das Senden einer Anfrage von einer Seite oder einem Domainnamen an einen anderen Domainnamen. Aus Sicherheitsgründen sind domänenübergreifende Anfragen keine gute Sache, da sie zu Sicherheitsproblemen führen können. In diesem Artikel erfahren Sie, wie Sie mit Node.js ein domänenübergreifendes Verbot einrichten.

Was ist domänenübergreifend?

Domainübergreifende Anfrage bedeutet, dass eine Seite von einem Domainnamen Ressourcen von einem anderen Domainnamen anfordert. Wenn Sie beispielsweise versuchen, http://test2.com/image.jpg auf der Seite http://test1.com zu laden, führt dies zu einer domänenübergreifenden Anfrage. In Webbrowsern sind domänenübergreifende Anfragen standardmäßig verboten. Wie in der Abbildung unten dargestellt, werden Anfragen von verschiedenen Domänen blockiert.

In Bezug auf die Sicherheit ist dies eine sehr gute Funktion. Denn wenn böswillige Benutzer in der Lage sind, Anfragen an andere Websites zu senden, können sie diese Websites angreifen und potenziell vertrauliche Informationen erhalten. Daher verbietet der Browser Cross-Origin-Anfragen, sofern dies nicht ausdrücklich erlaubt ist.

So deaktivieren Sie domänenübergreifende Anfragen

Lassen Sie uns nun einen Blick darauf werfen, wie Sie domänenübergreifende Anfragen mithilfe der Node.js-Einstellungen deaktivieren. Um domänenübergreifende Anfragen zu verhindern, müssen wir etwas auf der Serverseite konfigurieren. Unten finden Sie ein einfaches Beispiel, das zeigt, wie Sie Cross-Origin-Anfragen mithilfe von Node.js deaktivieren.

const express = require('express');
const cors = require('cors');

const app = express();

// 允许只来自example.com的跨域请求
const corsOptions = {
  origin: 'http://example.com',
  optionsSuccessStatus: 200
};

app.use(cors(corsOptions));

// ... 其他路由

app.listen(3000, () => {
  console.log('Server listening on port 3000.');
});

In diesem Beispiel haben wir das Express-Framework und die CORS-Middleware verwendet, um den Server so zu konfigurieren, dass Cross-Origin-Anfragen nicht zugelassen werden. Zuerst definieren wir ein corsOptions-Objekt, wobei das Attribut origin angibt, welche Domänenanforderungen zulässig sind. Sein Wert kann eine Zeichenfolge sein, die eine einzelne Domäne darstellt, oder es kann eine Funktion sein um mehrere Domänen zuzulassen. corsOptions对象，其中origin属性指定了允许来自哪个域的请求，它的值可以是一个字符串表示单个域，也可以是一个函数来允许多个域。

然后，我们将CORS中间件应用到我们的Express应用程序中。这个中间件将检查所有传入的请求，如果它们来自允许的域名，则会在响应中包含Access-Control-Allow-Origin头。

使用上述代码，我们只允许来自http://example.com的请求，并且返回200状态码以表示成功。如果请求中包含了一个非法的来源域，那么服务器将返回403状态码以拒绝请求。

需要注意的是，如果我们使用了不同的协议或端口号，那么它也会被视为不同的域名。例如：http://example.com和https://example.com，或者http://example.com和http://example.com:3000

Dann wenden wir die CORS-Middleware auf unsere Express-Anwendung an. Diese Middleware prüft alle eingehenden Anfragen und fügt den Header Access-Control-Allow-Origin in die Antwort ein, wenn sie von einer zulässigen Domäne stammen.

Mit dem obigen Code erlauben wir nur Anfragen von http://example.com und geben einen Statuscode 200 zurück, um den Erfolg anzuzeigen. Wenn die Anfrage eine illegale Quelldomäne enthält, gibt der Server einen 403-Statuscode zurück, um die Anfrage abzulehnen.

Es ist zu beachten, dass die Verwendung eines anderen Protokolls oder einer anderen Portnummer auch als anderer Domänenname betrachtet wird. Zum Beispiel: http://example.com und https://example.com oder http://example.com und http://example.com:3000. 🎜🎜Fazit🎜🎜In diesem Artikel haben wir erfahren, was Cross-Origin ist und warum es verboten werden muss. Wir haben auch erläutert, wie man eine Methode zum Deaktivieren von Cross-Origin-Anfragen mithilfe von Node.js einrichtet, und ein vollständiges Beispiel bereitgestellt. Dies ist eine intelligente und sichere Möglichkeit, sicherzustellen, dass Ihre Webanwendung vor der Bedrohung durch domänenübergreifende Angriffe geschützt ist. 🎜

Das obige ist der detaillierte Inhalt vonNodejs-Einstellungen verbieten domänenübergreifendes Arbeiten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!