Node.js Web 跨域

1.8.1 【必須】限定JSONP接口的callback字符集范圍

• JSONP接口的callback函數(shù)名為固定白名單。如callback函數(shù)名可用戶(hù)自定義，應(yīng)限制函數(shù)名僅包含 字母、數(shù)字和下劃線。如：[a-zA-Z0-9_-]+

1.8.2 【必須】安全的CORS配置

• 使用CORS，應(yīng)對(duì)請(qǐng)求頭Origin值做嚴(yán)格過(guò)濾、校驗(yàn)。具體來(lái)說(shuō)，可以使用“全等于”判斷，或使用嚴(yán)格的正則進(jìn)行判斷。如：^https://domain\.qq\.com$

// good：使用全等于，校驗(yàn)請(qǐng)求的Origin
if (req.headers.origin === 'https://domain.qq.com') {
    res.setHeader('Access-Control-Allow-Origin', req.headers.origin);
    res.setHeader('Access-Control-Allow-Credentials', true);
}

關(guān)聯(lián)漏洞：中風(fēng)險(xiǎn) - XSS，中風(fēng)險(xiǎn) - CSRF，中風(fēng)險(xiǎn) - CORS配置不當(dāng)