Node.js Web 跨域

1.8.1 【必須】限定JSONP接口的callback字符集范圍

• JSONP接口的callback函數(shù)名為固定白名單。如callback函數(shù)名可用戶自定義，應限制函數(shù)名僅包含 字母、數(shù)字和下劃線。如：[a-zA-Z0-9_-]+

1.8.2 【必須】安全的CORS配置

• 使用CORS，應對請求頭Origin值做嚴格過濾、校驗。具體來說，可以使用“全等于”判斷，或使用嚴格的正則進行判斷。如：^https://domain\.qq\.com$

// good：使用全等于，校驗請求的Origin
if (req.headers.origin === 'https://domain.qq.com') {
    res.setHeader('Access-Control-Allow-Origin', req.headers.origin);
    res.setHeader('Access-Control-Allow-Credentials', true);
}

關(guān)聯(lián)漏洞：中風險 - XSS，中風險 - CSRF，中風險 - CORS配置不當