0
背景:使用MEAN堆栈来构建一个web应用程序,我仍然在学习。登录用户:要发送给浏览器的什么信息?
问题:我发现以下混淆。假设我有一个用户登录(我正在使用Passport.js)。从Angular我可以检索它查询我的Node.js服务器。 我现在正在做的是类似于:
app.get('/userLogged',function(req,res){
res.json({req.user});
});
这听起来不还给我。我可能是新手,但我已经在很多教程中看到了这一点。在浏览器中使用console.log
,我可以打印关于用户的所有信息,包括散列密码。我的猜测是,我应该向浏览器发送一小部分信息,然后过滤掉其余部分。
我的问题:这是安全可言,或者我只是敞开大门给黑客?
你死了。应该发送的唯一数据是绝对需要的。发送多余的数据从来都不是一个好的做法,尤其是如果您不确定整个站点中存在零个XSS漏洞。 – CollinD