cluster模块和express一起用的话如何保持csrf值呢?
发布于 2年前 作者 gxmari007 1214 次浏览

如果是单进程的话req.session._csrf是不会变,但如果在多进程下这个req.session就不那么安分了,会随时刷新…

6 回复

不是很懂……

放memecha之类的里面

不知道express的csrf实现, 不过其实可以放到浏览器cookie里 设置成http-only 客户端取不到就行

hack下req对象 _csrf直接从cookie里取就行了

sessionStore 设置成 mongodb , redis 这种应该就可以了吧

待我试一试,原来用过mongodb来存session,但有个小问题,session里数据变化不一定都是准确的,一次请求中我把一个数字减1,下次请求还是原来的样子,这个问题也困扰我很久…

回到顶部