nodejs过滤xss_nodejs nodejs

hacker|
127

文章目录:

如何解决繁琐的WEB前端的XSS问题

后台做一层过滤,前台文本编辑器可以自己做一层标签过滤,不允许一些符号的输入就行了

xss攻击前端能做的有限

因为好多都是url转码来通过参数找漏洞,所以后台也要做一层过滤(例如nodejs的sql库就只允许单行sql,防止通过xss做注入)java之类的有现成多xss过滤器

剩下的就做ip黑名单吧,防止多次攻击

求大神讲讲web安全,nodejs怎么防止跨域攻击和sql注入

是CSRF(Cross-site request forgery) 不是你写的那个!

跨域不用担心.主流浏览器都会帮你做防御的. 问题不大,主要是你自己别给其他域的权限即可.非必要的话,以最小权限原则.

xss主要就是过滤输入输出.如果业务很多,还是找人审计代码吧.或者用比较成熟的模块.CSRF的话,1,验证来源 2加随机token之类的.

sqli主要还是过滤输入的地方.过滤/转义关键字比如select,and,or等等(有专门的防注入模块).觉得怕麻烦的话.用那些云主机的防御功能.再加个cdn基本就没事了.(对于一般的反射型跨站也适用)

Nodejs 如何过滤掉特殊字符

将对象转换成字符串,字符串里多个参数将用 ‘' 分隔,将用 ‘=' 赋值。

这个函数的操作和 querystring.parse() 是相反的,具体可以看一下例子就了解了。

nodejs安全吗

安全是不容忽视的,每个开发者都知道它非常重要,真正严肃对待它的却没有几人。我们 RisingStack 希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因,你的应用在被成千上万用户使用前必须要做安全检查。

这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。同时推荐你去阅读我们的引导文章 Node.js security,如果你刚开始使用Node.js,推荐你看这篇文章 first chapter of Node Hero。

配置管理

HTTP 安全头部

有些关于安全的HTTP头部是你的网站必须要有的:

Strict-Transport-Security 强制将HTTP请求替换为HTTPS请求

X-Frame-Options 防止点击劫持

X-XSS-Protection 开启跨站脚本攻击(XSS)的过滤,大多数现代浏览器支持这个设置

X-Content-Type-Options 禁用浏览器对响应内容MIME类型的嗅探,严格使用响应的Content-Type的值

Content-Security-Policy 能有效防止多种攻击,包括跨站脚本和跨站注入

Node.js开发者可以使用Helmet模块置这些头部,代码如下:

var express = require('express');

var helmet = require('helmet');

var app = express();

app.use(helmet());

Koa和ThinkJS框架中可以使用koa-helmet来设置这些头部,当然有关安全的头部不止这些,更多请看Helmet和MDN HTTP Headers。

在大多数架构里这些头部可以设置在web服务器的配置中(Apache、Nginx),不需要对应用代码进行改动。在Nginx中的配置:

# nginx.conf

add_header X-Frame-Options SAMEORIGIN;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self'";

有一个完整的Nginx配置文件,帅气的传送门在此。

如果你想快速检查你的网站是否有了所有的必须头部,请使用这个在线检查器。

客户端的敏感数据

当发布前端应用时,确保你的代码里永远不会包含API密码和证书,因为它可以被任何人看到。

没有自动化的方法去检查你在代码里写了敏感数据,但是有两个可以降低向客户端暴露敏感数据风险的方法:

使用 pull requests 提交代码

定期 code review

3条大神的评论

  • avatar
    访客 2022-07-16 上午 03:54:44

    繁琐的WEB前端的XSS问题后台做一层过滤,前台文本编辑器可以自己做一层标签过滤,不允许一些符号的输入就行了xss攻击前端能做的有限因为好多都是url转码来通过参数找漏洞,所以后台也

  • avatar
    访客 2022-07-16 上午 12:26:08

    类的.sqli主要还是过滤输入的地方.过滤/转义关键字比如select,and,or等等(有专门的防注入模块).觉得怕麻烦的话.用那些云主机的防御功能.再加个cdn基本就没事了.(对

  • avatar
    访客 2022-07-15 下午 10:52:32

    Type-Options 禁用浏览器对响应内容MIME类型的嗅探,严格使用响应的Content-Type的值Content-Security-Policy 能有效防止多种攻击,包括跨站脚本和跨站注入

发表评论