#javascript #node.js #socket.io
#javascript #node.js #socket.io
Вопрос:
Я довольно новичок в socket.io но я пытался найти способ удалить sid из запросов GET, которые отправляет сокет.клиент ввода-вывода отправляет на сервер.
Пример:
http://localhost:3333/socket.io/?EIO=3amp;transport=pollingamp;t=Mcx24JEamp;sid=pC6VHpJeXalrePERAAAB
Я надеялся, что вызов клиента connect () может исключить некоторые параметры, которые позволили бы скрыть sid, выдав POST вместо GET, но пока мне не очень повезло.
Спасибо, что взглянули.
Комментарии:
1. Почему вы хотите это скрыть? Если вы опасаетесь, что им может воспользоваться посредник, используйте HTTPS.
2. В рабочей среде у нас это происходит через HTTPS. Однако наша команда безопасности все еще отметила его и требует, чтобы он был полностью удален из URL-адреса, несмотря на HTTPS.
3. Хотя почему? … Это не делает ничего более безопасным (или я что-то упускаю)
4. Это была причина, по которой они указали мне:
The session ID may be disclosed via cross-site referer header. In addition, the session ID might be stored in browser history or server logs.5. Ааа … в этом есть смысл, об этом не подумали.