日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
干貨:Node.js安全指南

當(dāng)項(xiàng)目周期快結(jié)束時(shí),開發(fā)人員會越來越關(guān)注應(yīng)用的“安全性”問題。一個(gè)安全的應(yīng)用程序并不是一種奢侈,而是必要的。你應(yīng)該在開發(fā)的每個(gè)階段都考慮應(yīng)用程序的安全性,例如系統(tǒng)架構(gòu)、設(shè)計(jì)、編碼,包括最后的部署。

我們提供的服務(wù)有:做網(wǎng)站、網(wǎng)站制作、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、尖草坪ssl等。為1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的尖草坪網(wǎng)站制作公司

在這篇教程中,我們將一步步來學(xué)習(xí)如何提高Node.js應(yīng)用程序安全性的方法。

1. 數(shù)據(jù)驗(yàn)證 - 永遠(yuǎn)不要信任你的用戶

來自用戶輸入或其他系統(tǒng)的數(shù)據(jù),你都必須要進(jìn)行驗(yàn)證。否則,這會對當(dāng)前系統(tǒng)造成威脅,并導(dǎo)致不可想象的安全漏洞?,F(xiàn)在,讓我們學(xué)習(xí)如何驗(yàn)證Node.js中的傳入數(shù)據(jù)。你可以使用名為 validator 的模塊來執(zhí)行數(shù)據(jù)驗(yàn)證。 例如:

 
 
 
 
    
  
  
  
  
  1. const validator = require('validator'); 
    2. 
  
  
  
  
  2. validator.isEmail('foo@bar.com'); //=> true 
    3. 
  
  
  
  
  3. validator.isEmail('bar.com'); //=> false 
    4.

另外,你也可以使用 joi 模塊來進(jìn)行數(shù)據(jù)和模型的驗(yàn)證,例如:

 
 
 
 
    
  
  
  
  
  1. const joi = require('joi'); 
    2. 
  
  
  
  
  2.   try { 
    3. 
  
  
  
  
  3.     const schema = joi.object().keys({ 
    4. 
  
  
  
  
  4.       name: joi.string().min(3).max(45).required(), 
    5. 
  
  
  
  
  5.       email: joi.string().email().required(), 
    6. 
  
  
  
  
  6.       password: joi.string().min(6).max(20).required() 
    7. 
  
  
  
  
  7.     }); 
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9.     const dataToValidate = { 
    10. 
  
  
  
  
  10.         name: "Shahid", 
    11. 
  
  
  
  
  11.         email: "abc.com", 
    12. 
  
  
  
  
  12.         password: "123456", 
    13. 
  
  
  
  
  13.     } 
    14. 
  
  
  
  
  14.     const result = schema.validate(dataToValidate); 
    15. 
  
  
  
  
  15.     if (result.error) { 
    16. 
  
  
  
  
  16.       throw result.error.details[0].message; 
    17. 
  
  
  
  
  17.     }     
    18. 
  
  
  
  
  18.   } catch (e) { 
    19. 
  
  
  
  
  19.       console.log(e); 
    20. 
  
  
  
  
  20.   } 
    21.

2. SQL注入攻擊

SQL注入可以讓惡意用戶通過傳遞非法參數(shù),來篡改SQL語句。下面是一個(gè)例子,假設(shè)你寫了這樣一個(gè)SQL:

 
 
 
 
    
  
  
  
  
  1. UPDATE users  
    2. 
  
  
  
  
  2. SET first_name="' + req.body.first_name + '" WHERE id=1332; 
    3.

在正常情況下,你希望這次查詢應(yīng)該是這樣的:

 
 
 
 
    
  
  
  
  
  1. UPDATE users  
    2. 
  
  
  
  
  2. SET first_name = "John" WHERE id = 1332; 
    3.

但是現(xiàn)在,如果有人將 first_name 的值按下面這種方式傳遞:

 
 
 
 
    
  
  
  
  
  1. John", last_name="Wick"; -- 
    2.

這時(shí),你的SQL語句就會變成這樣:

 
 
 
 
    
  
  
  
  
  1. UPDATE users  
    2. 
  
  
  
  
  2. SET first_name="John", last_name="Wick"; --" WHERE id=1001; 
    3.

你會看到, WHERE 條件被注釋掉了,這次更新會將整張表所有用戶的 first_name 改成 John , last_name 改成 Wick 。這下,你闖禍了!

如何避免SQL注入

避免SQL注入攻擊最有效的辦法就是將輸入數(shù)據(jù)進(jìn)行過濾。你可以對每一個(gè)輸入數(shù)據(jù)逐一進(jìn)行驗(yàn)證,也可以用參數(shù)綁定的方式驗(yàn)證。開發(fā)者們最常用的就是參數(shù)綁定的方式,因?yàn)樗咝Ф野踩?/p>

如果你在使用一些比較流行的ORM框架,例如sequelize、hibernate等等,那么框架中就已經(jīng)提供了這種數(shù)據(jù)驗(yàn)證和SQL注入保護(hù)機(jī)制。

如果你更喜歡依賴數(shù)據(jù)庫模塊,例如 mysql for Node ,那么你可以使用數(shù)據(jù)庫提供的過濾方法。下面代碼是使用 mysql for Node 的一個(gè)例子:

 
 
 
 
    
  
  
  
  
  1. var mysql = require('mysql'); 
    2. 
  
  
  
  
  2. var connection = mysql.createConnection({ 
    3. 
  
  
  
  
  3.   host     : 'localhost', 
    4. 
  
  
  
  
  4.   user     : 'me', 
    5. 
  
  
  
  
  5.   password : 'secret', 
    6. 
  
  
  
  
  6.   database : 'my_db' 
    7. 
  
  
  
  
  7. }); 
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. connection.connect(); 
    10. 
  
  
  
  
  10.  
    11. 
  
  
  
  
  11. connection.query( 
    12. 
  
  
  
  
  12.     'UPDATE users SET ?? = ? WHERE ?? = ?', 
    13. 
  
  
  
  
  13.     ['first_name',req.body.first_name, ,'id',1001], 
    14. 
  
  
  
  
  14.     function(err, result) { 
    15. 
  
  
  
  
  15.     //... 
    16. 
  
  
  
  
  16. }); 
    17.

?? 的地方被字段名稱替換, ? 的地方被字段值替換,這樣就保證了輸入值的安全性。

你也可以使用存儲過程來提高安全級別,但是由于缺乏可維護(hù)性,開發(fā)人員傾向于避免使用存儲過程。

同時(shí),你還應(yīng)該執(zhí)行服務(wù)器端的數(shù)據(jù)驗(yàn)證。 但我不建議你手動驗(yàn)證每個(gè)字段,可以使用 joi 等模塊來解決這個(gè)問題。

類型轉(zhuǎn)換

JavaScript是一種動態(tài)類型語言,即值可以是任何類型。你可以使用類型轉(zhuǎn)換方法來驗(yàn)證數(shù)據(jù)的類型,這樣就能保證,只有指定類型的數(shù)據(jù)才可以進(jìn)入數(shù)據(jù)庫。比如,用戶ID只能是數(shù)字類型,看下面的代碼:

 
 
 
 
    
  
  
  
  
  1. var mysql = require('mysql'); 
    2. 
  
  
  
  
  2. var connection = mysql.createConnection({ 
    3. 
  
  
  
  
  3.   host     : 'localhost', 
    4. 
  
  
  
  
  4.   user     : 'me', 
    5. 
  
  
  
  
  5.   password : 'secret', 
    6. 
  
  
  
  
  6.   database : 'my_db' 
    7. 
  
  
  
  
  7. }); 
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. connection.connect(); 
    10. 
  
  
  
  
  10.  
    11. 
  
  
  
  
  11. connection.query( 
    12. 
  
  
  
  
  12.     'UPDATE users SET ?? = ? WHERE ?? = ?', 
    13. 
  
  
  
  
  13.     ['first_name',req.body.first_name, ,'id',Number(req.body.ID)], 
    14. 
  
  
  
  
  14.     function(err, result) { 
    15. 
  
  
  
  
  15.     //... 
    16. 
  
  
  
  
  16. }); 
    17.

你注意到變化了嗎?這里我們使用了 Number(req.body.ID) 方法來確保用戶ID必須為數(shù)字。

3. 應(yīng)用程序認(rèn)證和授權(quán)

敏感數(shù)據(jù)(例如密碼)應(yīng)該以一種安全的方式存儲在系統(tǒng)中,這樣,惡意用戶就不會濫用敏感信息。在本節(jié)中,我們將學(xué)習(xí)如何存儲和管理通用的密碼,幾乎每個(gè)應(yīng)用程序在其系統(tǒng)中都有不同的密碼存儲方式。

密碼哈希

哈希是一個(gè)將輸入值生成固定大小字符串的函數(shù)。哈希函數(shù)的輸出值是無法解密的,因此可以說是“單向的”。因此,像密碼這樣的數(shù)據(jù),存儲在數(shù)據(jù)庫中的值必須是哈希值,而不是明文。

你也許想知道,既然哈希是一種不可逆的加密方式,那么攻擊者又是如何取得密碼訪問權(quán)限的呢?

正如我上面提到的那樣,哈希加密使用輸入字符串并生成固定長度的輸出值。因此,攻擊者采取了相反的方法,他們從常規(guī)密碼列表中生成哈希,然后將哈希與系統(tǒng)中的哈希進(jìn)行比較以找到密碼。這種攻擊方式叫做查表法(Lookup Tables)

這就是為什么你作為系統(tǒng)架構(gòu)師,絕不允許系統(tǒng)中使用簡單通用密碼的原因。為了避免攻擊,你也可以使用一種叫”salt"的東西,我們稱之為“哈希加鹽法”。將salt附加到密碼哈希中,從而使輸入值唯一。salt值必須是隨機(jī)的不可預(yù)測的。我們建議你使用的哈希算法是 BCrypt ,在Node.js中,你可以使用bcyrpt節(jié)點(diǎn)模塊執(zhí)行哈希處理。

請參考下面例子中的代碼:

 
 
 
 
    
  
  
  
  
  1. const bcrypt = require('bcrypt'); 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. const saltRounds = 10; 
    4. 
  
  
  
  
  4. const password = "Some-Password@2020"; 
    5. 
  
  
  
  
  5.  
    6. 
  
  
  
  
  6. bcrypt.hash( 
    7. 
  
  
  
  
  7.     password, 
    8. 
  
  
  
  
  8.     saltRounds, 
    9. 
  
  
  
  
  9.     (err, passwordHash) => { 
    10. 
  
  
  
  
  10.  
    11. 
  
  
  
  
  11.     //we will just print it to the console for now 
    12. 
  
  
  
  
  12.     //you should store it somewhere and never logs or print it 
    13. 
  
  
  
  
  13.  
    14. 
  
  
  
  
  14.     console.log("Hashed Password:", passwordHash); 
    15. 
  
  
  
  
  15. }); 
    16.

SaltRounds 函數(shù)是哈希函數(shù)的成本,成本越高,生成的hash密碼越安全。你應(yīng)該根據(jù)服務(wù)器的計(jì)算能力來確定salt值,密碼的hash值生成后,用戶輸入的密碼將會和存儲在數(shù)據(jù)庫中的hash值比對,參考代碼如下:

 
 
 
 
    
  
  
  
  
  1. const bcrypt = require('bcrypt'); 
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. const incomingPassword = "Some-Password@2020"; 
    4. 
  
  
  
  
  4. const existingHash = "some-hash-previously-generated" 
    5. 
  
  
  
  
  5.  
    6. 
  
  
  
  
  6. bcrypt.compare( 
    7. 
  
  
  
  
  7.     incomingPassword, 
    8. 
  
  
  
  
  8.     existingHash, 
    9. 
  
  
  
  
  9.     (err, res) => { 
    10. 
  
  
  
  
  10.         if(res && res === true) { 
    11. 
  
  
  
  
  11.             return console.log("Valid Password"); 
    12. 
  
  
  
  
  12.         } 
    13. 
  
  
  
  
  13.         //invalid password handling here 
    14. 
  
  
  
  
  14.         else { 
    15. 
  
  
  
  
  15.             console.log("Invalid Password"); 
    16. 
  
  
  
  
  16.         } 
    17. 
  
  
  
  
  17. }); 
    18.

密碼存儲

無論你是用數(shù)據(jù)庫還是文件來存儲密碼,都不能使用明文存儲。我們在上一節(jié)已經(jīng)學(xué)到,你可以將密碼進(jìn)行哈希后存儲在數(shù)據(jù)庫中。我推薦密碼字段用 varchar(255) 數(shù)據(jù)類型,你也可以選擇不限長度的字段類型。如果你使用的是 bcrypt ,則可以使用 varchar(60) 字段類型,因?yàn)閎crypt會生成固定長度為60個(gè)字符的哈希。

認(rèn)證和授權(quán)

一個(gè)擁有合適的角色權(quán)限系統(tǒng),將會阻止一些惡意用戶在系統(tǒng)中做一些越權(quán)的事情。為了實(shí)現(xiàn)正確的授權(quán)過程,將合適的角色和權(quán)限分配給每個(gè)用戶,以便他們可以執(zhí)行權(quán)限范圍內(nèi)的某些任務(wù)。在Node.js中,你可以使用著名的ACL模塊,根據(jù)系統(tǒng)中的授權(quán)來開發(fā)訪問控制列表。

 
 
 
 
    
  
  
  
  
  1. const ACL = require('acl2'); 
    2. 
  
  
  
  
  2. const acl = new ACL(new ACL.memoryBackend()); 
    3. 
  
  
  
  
  3. // guest is allowed to view blogs 
    4. 
  
  
  
  
  4. acl.allow('guest', 'blogs', 'view') 
    5. 
  
  
  
  
  5. // check if the permission is granted 
    6. 
  
  
  
  
  6. acl.isAllowed('joed', 'blogs', 'view', (err, res) => { 
    7. 
  
  
  
  
  7.     if(res){ 
    8. 
  
  
  
  
  8.         console.log("User joed is allowed to view blogs"); 
    9. 
  
  
  
  
  9.     } 
    10. 
  
  
  
  
  10. }); 
    11.

請查閱acl2文檔以獲取更多信息和示例代碼。

4. 暴力攻擊防護(hù)

黑客經(jīng)常會使用軟件反復(fù)使用不同的密碼嘗試獲得系統(tǒng)權(quán)限,直到找到有效密碼為止,這種攻擊方式叫做暴力攻擊。為了避免這種攻擊,一種簡單有效的辦法是“讓他等一會”,也就是說,當(dāng)某人嘗試登錄系統(tǒng)并嘗試輸入無效密碼3次以上時(shí),請讓他們等待60秒左右,然后再嘗試。這樣,攻擊者將大大提高時(shí)間成本,并且將使他們永遠(yuǎn)無法破解密碼。

防止這種攻擊的另一種方法是屏蔽無效登錄請求的IP。系統(tǒng)在24小時(shí)內(nèi)允許每個(gè)IP進(jìn)行3次錯(cuò)誤地登錄嘗試。如果有人嘗試進(jìn)行暴力破解,則將其IP封鎖24小時(shí)。 許多公司已使用這種方法來防止暴力攻擊。 如果使用Express框架,則有一個(gè)中間件模塊可在傳入請求中啟用速率限制。 它稱為 express = brute 。

下面是一個(gè)例子。

安裝依賴項(xiàng)

 
 
 
 
    
  
  
  
  
  1. npm install express-brute --save 
    2.

在路由中啟用它

 
 
 
 
    
  
  
  
  
  1. const ExpressBrute = require('express-brute'); 
    2. 
  
  
  
  
  2. const store = new ExpressBrute.MemoryStore(); // stores state locally, don't use this in production 
    3. 
  
  
  
  
  3. const bruteforce = new ExpressBrute(store); 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. app.post('/auth', 
    6. 
  
  
  
  
  6.     bruteforce.prevent, // error 429 if we hit this route too often 
    7. 
  
  
  
  
  7.     function (req, res, next) { 
    8. 
  
  
  
  
  8.         res.send('Success!'); 
    9. 
  
  
  
  
  9.     } 
    10. 
  
  
  
  
  10. ); 
    11. 
  
  
  
  
  11. //... 
    12.

5. HTTPS安全傳輸

現(xiàn)在已經(jīng)2021年了,你也應(yīng)該使用HTTPS來向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)了。HTTPS是具有安全通信支持的HTTP協(xié)議的擴(kuò)展。使用HTTPS,可以保證用戶在互聯(lián)網(wǎng)中發(fā)送的數(shù)據(jù)是被加密的,是安全的。

在這里我不打算詳細(xì)介紹HTTPS協(xié)議的工作原理,我們只討論如何使用它。這里我強(qiáng)烈推薦使用 LetsEncrypt 來為你的所有域名生成安全證書。

你可以在基于Apache和Nginx的Web服務(wù)器上使用LetsEncrypt。我強(qiáng)烈建議你在反向代理或網(wǎng)關(guān)層上使用HTTPS協(xié)議,因?yàn)樗鼈冇泻芏喾敝氐挠?jì)算操作。

6. 會話劫持保護(hù)

會話(session)是任何動態(tài)Web應(yīng)用程序最重要的部分,一個(gè)安全的會話對用戶和系統(tǒng)來說真的是非常必要的。會話是使用Cookie實(shí)現(xiàn)的,因此必須確保其安全以防止會話劫持。以下是可以為每個(gè)cookie設(shè)置的屬性列表以及它們的含義:

  • secure - 該屬性告訴瀏覽器僅在通過HTTPS發(fā)送請求時(shí)才發(fā)送cookie。
  • HttpOnly - 該屬性用于防止跨站點(diǎn)腳本攻擊,因?yàn)樗辉试S通過JavaScript訪問cookie。
  • domain - 該屬性用于與請求URL的服務(wù)器域名進(jìn)行比較,如果域名匹配,或者是其子域,那么接下來就會檢查path屬性。
  • path - 除了domian之外,還可以指定cookie有效的URL路徑。 如果domain和路徑匹配,則可以在請求中發(fā)送cookie。
  • expires - 該屬性用于設(shè)置持久性的cookie,cookie只會在超過了設(shè)定的日期才會過期。

在Express框架中,你可以使用 express-session npm模塊來管理會話。

 
 
 
 
    
  
  
  
  
  1. const express = require('express'); 
    2. 
  
  
  
  
  2. const session = require('express-session'); 
    3. 
  
  
  
  
  3. const app = express(); 
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5. app.use(session({ 
    6. 
  
  
  
  
  6.   secret: 'keyboard cat', 
    7. 
  
  
  
  
  7.   resave: false, 
    8. 
  
  
  
  
  8.   saveUninitialized: true, 
    9. 
  
  
  
  
  9.   cookie: { secure: true, path: '/'} 
    10. 
  
  
  
  
  10. })); 
    11.

7. 跨站點(diǎn)請求偽造攻擊(CSRF)防護(hù)

跨站點(diǎn)請求偽造攻擊利用系統(tǒng)中受信任的用戶,對Web應(yīng)用程序執(zhí)行有害的惡意操作。在Node.js中,我們可以使用 csurf 模塊來緩解CSRF攻擊。該模塊需要首先初始化 express-session 或 cookie-parser ,你可以看看下面的示例代碼:

 
 
 
 
    
  
  
  
  
  1. const express = require('express'); 
    2. 
  
  
  
  
  2. const cookieParser = require('cookie-parser'); 
    3. 
  
  
  
  
  3. const csrf = require('csurf'); 
    4. 
  
  
  
  
  4. const bodyParser = require('body-parser'); 
    5. 
  
  
  
  
  5.  
    6. 
  
  
  
  
  6. // setup route middlewares 
    7. 
  
  
  
  
  7. const csrfProtection = csrf({ cookie: true }); 
    8. 
  
  
  
  
  8. const parseForm = bodyParser.urlencoded({ extended: false }); 
    9. 
  
  
  
  
  9.  
    10. 
  
  
  
  
  10. // create express app 
    11. 
  
  
  
  
  11. const app = express(); 
    12. 
  
  
  
  
  12.  
    13. 
  
  
  
  
  13. // we need this because "cookie" is true in csrfProtection 
    14. 
  
  
  
  
  14. app.use(cookieParser()); 
    15. 
  
  
  
  
  15.  
    16. 
  
  
  
  
  16. app.get('/form', csrfProtection, function(req, res) { 
    17. 
  
  
  
  
  17.   // pass the csrfToken to the view 
    18. 
  
  
  
  
  18.   res.render('send', { csrfToken: req.csrfToken() }); 
    19. 
  
  
  
  
  19. }); 
    20. 
  
  
  
  
  20.  
    21. 
  
  
  
  
  21. app.post('/process', parseForm, csrfProtection, function(req, res) { 
    22. 
  
  
  
  
  22.   res.send('data is being processed'); 
    23. 
  
  
  
  
  23. }); 
    24. 
  
  
  
  
  24.  
    25. 
  
  
  
  
  25. app.listen(3000); 
    26.

在網(wǎng)頁上,你需要?jiǎng)?chuàng)建一個(gè)隱藏輸入域,將CSRF令牌保存在該輸入域中,例如:

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.    
    3. 
  
  
  
  
  3.  
    4. 
  
  
  
  
  4.   Favorite color:  
    5. 
  
  
  
  
  5.   Submit 
    6. 
  
  
  
  
  6.  
    7.

如果使用的是AJAX請求,那么CSRF令牌可以通過請求頭(header)來傳遞。

 
 
 
 
    
  
  
  
  
  1. var token = document.querySelector('meta[name="csrf-token"]').getAttribute('content'); 
    2. 
  
  
  
  
  2.   headers: { 
    3. 
  
  
  
  
  3.     'CSRF-Token': token 
    4. 
  
  
  
  
  4.   } 
    5.

8. 拒絕服務(wù)

拒絕服務(wù)或DOS攻擊,可以讓攻擊者通過破壞系統(tǒng),使系統(tǒng)被迫關(guān)閉服務(wù)或用戶無法訪問服務(wù)。攻擊者通常會向系統(tǒng)發(fā)送大量的流量和請求,從而增加服務(wù)器CPU和內(nèi)存負(fù)載,導(dǎo)致系統(tǒng)崩潰。為了緩解Node.js應(yīng)用程序中的DOS攻擊,首先是要識別此類事件, 我強(qiáng)烈建議將這兩個(gè)模塊集成到系統(tǒng)中。

  1. Account lockout - 在n次嘗試失敗后,將帳戶或IP地址鎖定一段時(shí)間(例如24小時(shí)?)
  2. Rate limiting - 限制用戶在特定時(shí)間段內(nèi)只能請求系統(tǒng)n次,例如,單個(gè)用戶每分鐘只能請求3次。

正則表達(dá)式拒絕服務(wù)攻擊(ReDOS)是DOS攻擊的一種,攻擊者利用系統(tǒng)中正則表達(dá)式的設(shè)計(jì)缺陷或計(jì)算復(fù)雜度來大量消耗服務(wù)器的系統(tǒng)資源,造成服務(wù)器的服務(wù)中斷或停止。

我們可以使用一些工具來檢查有風(fēng)險(xiǎn)的正則表達(dá)式,從而避免這些正則表達(dá)式的使用。例如這個(gè)工具:

https://github.com/davisjam/vuln-regex-detector

9. 依賴關(guān)系驗(yàn)證

我們在項(xiàng)目中都使用了大量的依賴項(xiàng)。我們還需要檢查并驗(yàn)證這些依賴關(guān)系,以確保整個(gè)項(xiàng)目的安全性。NPM已經(jīng)具有這樣的審核功能來查找項(xiàng)目的漏洞。只需在源代碼目錄中運(yùn)行下面的命令即可:

 
 
 
 
    
  
  
  
  
  1. npm audit 
    2.

要修復(fù)漏洞,可以運(yùn)行此命令:

 
 
 
 
    
  
  
  
  
  1. npm audit fix 
    2.

您也可以先進(jìn)行 dry run 來檢查修復(fù)程序,然后再將其應(yīng)用到項(xiàng)目中。

 
 
 
 
    
  
  
  
  
  1. npm audit fix --dry-run --json 
    2.

10. HTTP安全頭信息

HTTP提供了一些安全頭信息,可以防止常見的攻擊。如果使用的是Express框架,則可以使用 helmet 模塊,1行代碼就可以啟用所有安全頭。

 
 
 
 
    
  
  
  
  
  1. npm install helmet --save 
    2.

下面來看看如何使用:

 
 
 
 
    
  
  
  
  
  1. const express = require("express");  
    2. 
  
  
  
  
  2. const helmet = require("helmet");   
    3. 
  
  
  
  
  3. const app = express();  
    4. 
  
  
  
  
  4. app.use(helmet());   
    5. 
  
  
  
  
  5. //... 
    6.

這將啟用以下HTTP頭:

  • Strict-Transport-Security
  • X-frame-Options
  • X-XSS-Protection
  • X-Content-Type-Protection
  • Content-Security-Policy
  • Cache-Control
  • Expect-CT
  • Disable X-Powered-By

這些HTTP頭可防止惡意用戶的各種攻擊,例如點(diǎn)擊劫持,跨站點(diǎn)腳本攻擊等。


網(wǎng)頁題目:干貨:Node.js安全指南
網(wǎng)頁網(wǎng)址:http://www.5511xx.com/article/dpsdhde.html