我们一直在使用socket.io作为我们应用程序中的聊天框架。实施是干净和成功的。但在对应用程序进行安全审核之后,据报道将会话ID保留在url中被认为是一种不好的做法。
在socket.io会话中,id为参数sid,默认情况下显示在URL中,如下所示。
https://example.com:4000/socket.io/?EIO=3&transport=polling&t=1480422460686-2&的 SID = H7ZujhfsdTyTGKg2AARq
我们有什么方法可以从URL中删除它吗?我们已经完成了Google的文档和一系列结果。似乎没有解决方案。
根据安全团队的说法,此问题与recent vulnerability in CloudFlare相关时相关。任何解决方案?
答案 0 :(得分:2)
答案 1 :(得分:2)
转到商店>配置>常规> Web>会话验证设置>在店面中使用SID ,并将其值设置为No
参考How to remove SID
答案 2 :(得分:0)
sid由服务器发送,作为握手数据的一部分,对于后续呼叫是必需的。否则,您应该得到HTTP 400响应,错误为UNKNOWN_SID。