今天要來完成:
先下載express-rate-limit package
接著來設置client在特定時間能發送的requests數量
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 min
max: 100 // requests數量
});
app.use(limiter);
使用者在15分鐘內只能make 100個requests
Express在array中populate具有相同名稱的http parameters
駭客可以透過此機制pollute request parameters
先下載hpp package
app.use(hpp());
跨來源資源共用(Cross-Origin Resource Sharing (CORS))
是一種使用額外HTTP標頭令目前瀏覽網站的使用者代理 (en-US)
取得存取其他來源(網域)伺服器特定資源權限的機制
當使用者代理請求一個不是目前文件來源——
例如來自於不同網域(domain)、通訊協定(protocol)或通訊埠(port)的資源時
會建立一個跨來源 HTTP 請求(cross-origin HTTP request)
所以需下載cors middleware
app.use(cors());
參考資料:跨來源資源共用(CORS), https://developer.mozilla.org/zh-TW/docs/Web/HTTP/CORS