Я пытаюсь настроить сеансовые куки на моем Node-сервере, который является бэкэндом для приложения Electron.Я пытаюсь следовать этому руководству.
https://firebase.google.com/docs/auth/admin/manage-cookies
Первое, что меня смущает, - это откуда взялась эта функция в разделе «Вход»: const csrfToken = getCookie('csrfToken')
Is 'getCookie'функцию, которую я должен написать сам?
Я также не полностью следую логике фрагмента "создать файл cookie сеанса":
const csrfToken = req.body.csrfToken.toString();
// Guard against CSRF attacks.
if (csrfToken !== req.cookies.csrfToken) {
res.status(401).send('UNAUTHORIZED REQUEST!');
return;
}
Так что это похоже на проверку, чтобы увидетьесли маркер CSRF тела запроса - то же самое, что установлено в токене CSRF куки-запроса?Это потому, что кто-то может установить токен CSRF вручную (то есть, используя Postman), но такой запрос не будет выполнен, потому что он не в req.cookies
?Означает ли это, что никто не должен устанавливать req.cookies в своем клиентском коде?