从安全的角度来看,在 JavaScript 的 Fetch API 中总是设置 `{credentials: "include", }` 可以吗?

问题描述 投票:0回答:1

有些 HTTP 请求需要身份验证,有些请求则不需要,但如果使用 

{ credentials: "include" }
不是漏洞,为什么不始终保留 
"include"
值呢?

javascript fetch-api
1个回答
0
投票

凭证本质上是敏感的。如果您可以减少发送凭据的位置数量,那么风险就会降低。此外,跨源请求必须特别允许包含凭据,如果其他源不选择这样做,则 

credentials: include
将导致请求失败。

我认为最小权限原则在这里有些适用:https://en.wikipedia.org/wiki/Principle_of_least_privilege

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.