在Strapi上使用CRSF和XSS保护的一些例子的最佳实践是什么?
我有几个HTML表单和一个移动应用程序,它们在Strapi中调用API,我正在寻找一种方法来防止CRSF和XSS问题。
另外,如果我使用 expressJS 生成 CSRF 令牌,是否可以在提交数据时从 Strapi 验证这些令牌?
多谢
乔治斯
我不熟悉 srapi.io 但似乎您正在搜索策略
策略是能够在每个请求到达控制器操作之前对每个请求执行特定逻辑的函数。它们主要用于轻松保护业务逻辑。项目的每个路由都可以与一系列策略相关联。例如,您可以创建一个名为 isAdmin 的策略,该策略显然会检查请求是否由管理员用户发送,并将其用于关键路由。
https://strapi.io/documentation/3.x.x/concepts/concepts.html#policies