我们在 MERN 应用程序中使用基于 http-only cookie 的 JWT 身份验证。 最近,我们遇到了一位用户的可疑活动。用户创建一个帐户,然后使用只能由代码设置的有效负载值发出 POST 请求。但是当我们检查日志时,Express.js 服务器上收到的值看起来不像是通过代码发送的。看起来 POST 请求正文已被更改。我们的猜测是,用户从
NetworkconsoleconsoleExpress.js此次事件发生后,我们对服务器上的请求正文进行了一些检查。但在其他应用领域也可能发生此事件。 我们如何确保如果有人尝试复制 POST 请求并更改有效负载,我们需要在服务器上检查该请求是否源自开发人员工具控制台选项卡而不是应用程序?或者有没有办法处理这种情况?
任何帮助将不胜感激。
我想到的一些最快的解决方法是验证服务器端的所有输入,您可以使用 Helmet.js 包,实现 CSRF 令牌。