Это плохая практика - оборачивать экспресс-приложение в соединение socketio?
Я делаю веб-игру, и если у меня есть маршрут, который выглядит так:
app.post('/create_account', (req, res) => {
var email = req.body.email
var pass = req.body.pass
res.json({response: "created"})
})
Любой может публиковать данные на mywebsite.com/create_account, используя postman, или curl, или что-то еще, и мой веб-сайт начнет создавать для них учетную запись, даже если их нет даже на моей веб-странице.
Я нашел интересный обходной путь и хотел знать, безопасно ли это или даже хорошая идея. В основном я оборачиваю свои маршруты приложений в соединение socket.io:
io.on('connection', function(socket) {
app.post('/create_account', (req, res) => {
//code goes here
})
})
Я протестировал его, и кажется, что таким образом вы можете отправлять сообщения в / create_account, только если вы действительно подключены к веб-странице.
Какие (если есть) недостатки в этом? Если это плохая идея, то как лучше запретить людям публиковать данные, если их нет на моем сайте?
Так не получится. Вы добавляете новый дублирующий обработчик app.post() для каждого входящего соединения socket.io. При каждом запросе, который попадает в этот маршрут, каждый из них срабатывает, и у вас будут всевозможные дубликаты. Вы не можете делать то, что пытаетесь сделать таким образом.
Ответы 1
Предложение @ Ruslan о токенах CSRF звучит и, вероятно, ваш лучший вариант, обертывание всего в socket.io кажется слишком сложной задачей. Вот библиотека, которая это делает: https://github.com/expressjs/csurf
Как вариант, вы можете использовать csrf-tokens.