关键信息总结 漏洞修复内容 修复类型: 安全性修复 (security) 修复说明: 阻止在回环浏览器路由上的跨源 mutation ( ) 涉及的文件变更 变更文件: 4个文件变更,共 167 行添加,0 行删除 主要文件: - - - - 新引入的功能和测试 引入了 中间件 添加了针对 CSRF 攻击的测试: - 测试确保不会处理来自非回环源的变异方法 ( ) - 测试允许来自回环源的变异方法 - 测试允许没有 Origin/Referer 的变异方法 - 测试拒绝 的变异方法 - 测试拒绝带有非回环 referer 的变异方法 - 测试拒绝带有 为 的变异方法 添加了函数和逻辑判断 - 判断是否是变异方法 ( ) - 判断是否是回环 URL ( ) - 判断是否应该拒绝浏览器变异 ( ) 安全性和防护 主要防护逻辑: - 阻止跨源变异方法 (除了非浏览器客户端和 OPTIONS 预检请求) - 处理回环源和非回环源的请求区别,避免不适当的变异请求 涉及的路由和中间件 应用了新中间件: - - 在多个文件中应用该中间件确保所有相关路由的防护