在 GraphQL 服务器代码中保留涉及数据 creation/modification/deletion 的突变会成为安全问题吗?
Will keeping mutations involving data creation/modification/deletion in GraphQL server code be a security issue?
我有一个 public React JS 网站,它使用 CORS 向我的节点服务器发出请求(只允许我网站的域)。我的网站只是从前端获取 GraphQL 查询。但是我的 Node 服务器代码确实有 GraphQL 变化,比如添加或删除内容。那么,即使 CORS 只允许我没有突变的网站,这是否会使我的数据库不安全?
同源策略和 CORS 仅由网络浏览器强制执行,即便如此,它们也可以被个人用户禁用。您需要为您的服务器应用程序实施适当的身份验证和授权,以防止未经授权访问受限字段,例如您的 Mutation 类型或其他可能包含不应向所有用户公开的私有或敏感数据的字段。
我有一个 public React JS 网站,它使用 CORS 向我的节点服务器发出请求(只允许我网站的域)。我的网站只是从前端获取 GraphQL 查询。但是我的 Node 服务器代码确实有 GraphQL 变化,比如添加或删除内容。那么,即使 CORS 只允许我没有突变的网站,这是否会使我的数据库不安全?
同源策略和 CORS 仅由网络浏览器强制执行,即便如此,它们也可以被个人用户禁用。您需要为您的服务器应用程序实施适当的身份验证和授权,以防止未经授权访问受限字段,例如您的 Mutation 类型或其他可能包含不应向所有用户公开的私有或敏感数据的字段。