Xin được chỉ giáo về bảo mật của web sử dụng ajax

Thanks for your sharing, great!!!,
mình lại có một ý tưởng sau:

Tóm lại trong node js để set cookie ta làm như sau :

res.cookie('my_cookie', 'this_my_cookie', { maxAge: 900000, httpOnly: true });

Để get cookie ta làm như sau :

    var cookie=req.headers.cookie;
    res.json({msg:cookie})

Kết quả hiện tại trên máy mình như sau

{"kq":"connect.sid=s%3ALdcHbjmoXiqjAD4pqSwQQ7MwdGUzYVd0.IX89Rye9H70Bv3rCVozlm5lAGXQRd17pT52Yseb9474; token=134324XXXXXX; my_cookie=this_my_cookie"}

Thử tưởng tượng, khi ta lang thang vào một trang nào đó mà có dòng lệnh này

    var cookie=req.headers.cookie;

Thì có gì nghiêm trọng không ban?

Cookie của trang nào thì chỉ trang đó biết thôi b, trình duyệt sẽ chỉ gửi cookie của trang tương ứng với domain

Không hẳn, vẫn có thể dùng nút ẩn để gửi POST qua trang của bạn mà ko cần biết cookie trang.

Cái đó là lỗi CSRF. Bạn cần phải bảo vệ mình khỏi lỗi này