简单 Hybrid App 如何防止 CSRF,另外验证码如何实现?
WildCat · 2014-05-21 19:13:32 +08:00 via iPhone · 1951 次点击这是一个创建于 3649 天前的主题,其中的信息可能已经有所发展或是发生改变。
还是打算参加比赛的项目,给自己学校做的App,后端用node.js(Express),客户端主要是Hybrid App。
打算还是用比较传统的cookie+session做用户状态保持,目前有几个问题需要请教:
1.用户提交数据时(例如登录、发帖场景),是否还需要CSRF Token? 若需要,如何实现(目前我只想到了用户进去发帖视图时执行一次http请求,请求token)
2.验证码如何实现(打算做一个“压力控制”,防止广告和灌水。检测用户发帖间隔,少于一定时间就要求填写验证码。但是这个验证码什么时候去请求?比如请求CSRF token的时候,顺便返回一个是否需要验证码的值?比如{"once": "ThisIsCSRFToken", needCaptcha: true})
3.关于防广告、灌水,v2的机制(铜币)似乎不错,但是对于一个学校App是否太重?
4.我是不是想太多了-_-#
请前辈们赐教,如果能提供一些node.js包减少我要造的轮子就更感谢了~!
打算还是用比较传统的cookie+session做用户状态保持,目前有几个问题需要请教:
1.用户提交数据时(例如登录、发帖场景),是否还需要CSRF Token? 若需要,如何实现(目前我只想到了用户进去发帖视图时执行一次http请求,请求token)
2.验证码如何实现(打算做一个“压力控制”,防止广告和灌水。检测用户发帖间隔,少于一定时间就要求填写验证码。但是这个验证码什么时候去请求?比如请求CSRF token的时候,顺便返回一个是否需要验证码的值?比如{"once": "ThisIsCSRFToken", needCaptcha: true})
3.关于防广告、灌水,v2的机制(铜币)似乎不错,但是对于一个学校App是否太重?
4.我是不是想太多了-_-#
请前辈们赐教,如果能提供一些node.js包减少我要造的轮子就更感谢了~!
Select Language