我将actionHero.js用于API设计。 我想立即应用XSS Filter。
如何应用XSS过滤器?
答案 0 :(得分:-1)
我相信您在询问“如何将API访问权限仅限于固定域”。
“XSS”或“跨站点安全”实际上只是一个面向浏览器的概念,只与页面的安全性有关.... IE:禁止www.site.com上的页面使用JS或Ajax命中www.shady.com。
由于Actionhero是一个服务器框架,因此ActionHero中没有很多部分专注于浏览器。您可以访问将返回到所有Web请求的标头,其中包括Access-Control-Allow-Origin,即浏览器的主XSS标头。您可以通过./config/servers/web哈希在api.config.servers.web.headers中进行设置。大多数现代浏览器都会遵守允许的域列表。也就是说,如果您试图阻止“阴暗”的人(可能甚至不使用浏览器)访问您的API,这根本无济于事。