node.js - 可以操纵passport.js 的req.user 吗?
问题描述
在我的 api 中,每当我收到请求时,我都会检查 req.user._id,当你有使用 passportJS 身份验证中间件的 nodejs 时,它会添加到任何请求中。
我的问题是:黑客可以发送一个帖子请求并用不属于他们的 id 填充 req.user._id 的参数吗?
如果不是,你能解释一下为什么吗?
解决方案
推荐阅读
- python - Cannot change the value of global variable in Python
- django - Django - annotate with multiple Count
- java - i got wrong place name (got coordinate) when using Google Maps PlacePicker API
- angularjs - 如果事件在 5 秒内发生超过 3 次,则停止 socket.io 发出
- rx-java - How to emit OnComplete and OnError events as observable item?
- haskell - 如何摆脱 Haskell 中的“Parse error in pattern”错误
- android - Setprogress for a progress bar across fragments android using Kotlin
- azure - 关于 Azure Batch 的容器选项
- java - 多个 JVM 的并发 hashmap 可扩展性
- java - Java获取前一周的日期列表