nodejs 的安全

yupeng發表於2013-12-26

1.connect中介軟體csrf

原理：在express框架中csrf 是通過connect 模組的中介軟體來解決的。其原理是在前端構造一個隱藏的表單域“_csrf” ，後端生成一個值，作為該表單域，然後在提交表單的時候，將這個值提交到後端，後端再根據這個值來比較，如果和之前的值相等的，就認為是正確的，否則就是錯誤的。我們來看看程式碼：

module.exports = function csrf(options) {
  options = options || {};
  var value = options.value || defaultValue;

  return function(req, res, next){
    
    // already have one
    var secret = req.session._csrfSecret;
    if (secret) return createToken(secret);

    // generate secret
    uid(24, function(err, secret){
      if (err) return next(err);
      req.session._csrfSecret = secret;
      createToken(secret);
    });
    
    // generate the token
    function createToken(secret) {
      var token;

      // lazy-load token
      req.csrfToken = function csrfToken() {
        return token || (token = saltedToken(secret));
      };
      
      // compatibility with old middleware
      Object.defineProperty(req.session, '_csrf', {
        configurable: true,
        get: function() {
          console.warn('req.session._csrf is deprecated, use req.csrfToken() instead');
          return req.csrfToken();
        }
      });
      
      // ignore these methods
      if ('GET' == req.method || 'HEAD' == req.method || 'OPTIONS' == req.method) return next();
      
      // determine user-submitted value
      var val = value(req);
      
      // check
      if (!checkToken(val, secret)) return next(utils.error(403));
      
      next();
    }
  }
};

我們看到，直接以function(req,res,next){} 返回，在這個函式裡面有一個 createToken 函式，就是生成token 的，將token的值直接繫結在請求物件req的屬性上，req.csrfToken = function

我們可以直接呼叫這個函式，生成值，返回給頁面，賦值給表單域。然後表單提交經過checkToken 函式，比較是否相同，如果是就呼叫next 函式，否則直接呼叫utils.error(403) 了。

2. cookie_secret

express 可以通過connect的中介軟體模組cookieParser 來解決

使用方法：

connect()
 *       .use(connect.cookieParser('optional secret string'))
 *       .use(function(req, res, next){
 *         res.end(JSON.stringify(req.cookies));
 *       })

3.paypal 的lusca 模組

這個模組很簡潔，可以解決csrf，p3p,xframe,csp 等問題。使用起來很簡單。官方地址

原理： csrf 是直接呼叫express 框架的csrf來解決的，p3p和xframe ，csp 都是設定response header 來解決的。

呼叫方式為：

var express = require('express'),
    appsec = require('lusca'),
    server = express();

server.use(appsec.csrf());
server.use(appsec.csp({ /* ... */}));
server.use(appsec.xframe('SAMEORIGIN'));
server.use(appsec.p3p('ABCDEF'));

也可以直接這麼使用

server.use(appsec({
    csrf: true,
    csp: { /* ... */},
    xframe: 'SAMEORIGIN',
    p3p: 'ABCDEF' 
}));

深度理解Nodejs中crypto模組的安全知識
2018-12-31
NodeJS
【web安全】Nodejs原型鏈汙染分析
2022-02-13
WebNodeJS原型
Nodejs教程10：Nodejs的模組化
2019-03-02
NodeJS
鋒利的NodeJS之NodeJS多執行緒
2021-04-10
NodeJS執行緒
nodejs：window10下的nodejs基本知識
2020-11-20
NodeJS
NodeJS的模組原理
2020-04-06
NodeJS
理解nodejs的module
2019-02-16
NodeJS
nodejs 模組的流程
2016-10-08
NodeJS
nodejs中的eventLoop
2018-04-08
NodeJSOOP
nodejs的stream模組
2018-04-06
NodeJS
Nodejs post的公式
2017-05-04
NodeJS公式
Nodejs教程01：Nodejs簡介
2019-01-28
NodeJS
[NodeJs系列]NodeJs模組機制
2019-01-19
NodeJS
[nodejs] NodeJs/NPM入門教程
2024-03-17
NodeJSNPM
nodejs
2018-02-05
NodeJS
Nodejs中的stream模組
2018-04-03
NodeJS
nodejs監聽的方式
2017-10-16
NodeJS
nodejs中流(stream)的理解
2017-04-04
NodeJS
nodeJs的模組依賴
2017-07-06
NodeJS
import,export的支援[nodejs]
2018-05-07
ImportExportNodeJS
理解nodejs模組的scope
2016-02-18
NodeJS
記一次Nodejs安全工單的處理過程_20171226
2019-02-16
NodeJS
[nodejs] nodejs版本管理工具：nvm
2024-03-23
NodeJS
Nodejs中的require函式
2019-03-30
NodeJSUI函式
NodeJs中資料庫的使用
2019-02-16
NodeJS資料庫
nodejs 中的依賴管理
2019-01-29
NodeJS
nodejs的除錯debug
2021-01-27
NodeJS除錯
nodeJs流的使用及原理
2018-09-17
NodeJS
NodeJS 常用的 8 個工具
2018-10-14
NodeJS
剖析nodejs的事件迴圈
2018-06-17
NodeJS事件
出入nodejs
2015-02-02
NodeJS
nodejs tools
2015-03-09
NodeJS
nodejs mongodb
2014-12-25
NodeJSMongoDB
nodejs redis
2014-12-28
NodeJSRedis
nodejs mysql
2015-04-04
NodeJSMySql
nodejs express
2015-04-27
NodeJSExpress
nodejs mkdirs
2024-03-29
NodeJS
快速學習nodejs系列：十一、nodejs垃圾回收
2019-02-16
NodeJS

nodejs 的安全

相關文章