首頁 探索 說明
登入
Lawsun
/
ysjj-system
1
0
複刻 0
檔案 問題管理 0 合併請求 0 Wiki
目錄樹: d230cfbce0
分支列表 標籤列表
ysjj-system
/
node_modules
/
egg-security
/
lib
/
middlewares
/
methodnoallow.js

methodnoallow.js 573 B
文件歷史 原始文件

1234567891011121314151617181920212223 
  1. 'use strict';
    2. 

  2. 

  3. const methods = require('methods');
    4. 

  4. const METHODS_NOT_ALLOWED = [ 'trace', 'track' ];
    5. 

  5. const safeHttpMethodsMap = {};
    6. 

  6. 

  7. for (const method of methods) {
    8. 

  8.   if (!METHODS_NOT_ALLOWED.includes(method)) {
    9. 

  9.     safeHttpMethodsMap[method.toUpperCase()] = true;
    10. 

  10.   }
    11. 

  11. }
    12. 

  12. 

  13. // https://www.owasp.org/index.php/Cross_Site_Tracing
    14. 

  14. // http://jsperf.com/find-by-map-with-find-by-array
    15. 

  15. module.exports = () => {
    16. 

  16.   return function notAllow(ctx, next) {
    17. 

  17.     // ctx.method is upper case
    18. 

  18.     if (!safeHttpMethodsMap[ctx.method]) {
    19. 

  19.       ctx.throw(405);
    20. 

  20.     }
    21. 

  21.     return next();
    22. 

  22.   };
    23. 

  23. };
    24.