我正在解决一个具有挑战性的ctf问题,其中,该标志位于nodejs服务器的process.env中。我可以访问服务器的源代码(bcs他们通过express.static公开....)所以有没有在客户端访问nodejs的process.env?
答案 0 :(得分:1)
有一种误解。 express.static,并未授予您访问服务器Javascript代码的权限。相反,它允许您在服务器和客户端使用选定的代码。
这允许您在双方共享代码,但它绝不允许您在服务器上下文中在客户端执行代码。
这意味着,您将无法像process.env那样在客户端执行特定于服务器的代码。
您基本上有两种选择可以在客户端访问该标志: