【问题标题】:I want to know about the vulnerability of Secret key passed as config in express-session我想知道在 express-session 中作为配置传递的密钥的漏洞
【发布时间】:2021-03-29 21:58:36
【问题描述】:

我们传递一个在前面有一个密钥值的对象 -->

app.use(session({
  secret: 'keyboard cat',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: true }
})

我想知道将密钥公开是否是一个好习惯,或者我应该通过环境变量传递它

【问题讨论】:

  • 我觉得问“公开密钥是否是个好习惯”很幽默......

标签: javascript node.js express express-session


【解决方案1】:

是的,您应该将该键放入环境变量中,可能是在 .env 文件中,并使用 dotenv 包从服务器端 javascript 中将其作为变量获取。

在该 javascript 文件中将您的密钥作为明文形式存在的安全问题是,如果您将其提交到源代码管理,那么任何有权访问您的存储库的人也可以访问该密钥。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-04-24
    • 1970-01-01
    • 1970-01-01
    • 2018-11-06
    • 1970-01-01
    相关资源
    最近更新 更多