提高NodeJS网站的安全性:Web服务器防黑客攻击技巧

简介: 毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。

毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。

在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。

不用eval,赢得朋友

你不仅仅要避免使用eval - 你也应该避免使用在下列情况,他们等价于直接使用eval;

setInterval(String, 2)

setTimeout(String, 2)

newFunction(String)

注* eval: 直接将字符串转化为代码执行,如: eval('alert("hi")')

为什么不要用eval?

如果你对用户输入的内容进行了eval运行(千万不要这么设计),你就有可能受到注入攻击。并且这种运行方式很慢。

请使用Strict严格模式

使用这种模式将限制你的变量声明,并总会将一些可能隐藏的错误抛出来,下面是几个例子:

1.不可删除的属性

'use strict';

deleteObject.prototype; // TypeError

2. 对象属性必须是唯一的

'use strict';  

var obj = {  

   a: 1,

   a: 2

};

// syntax error

3.禁止使用with

var obj = { x: 17 };  

with (obj) // !!! syntax error  

{

}

静态代码分析

使用 JSLint, JSHint 或 ESLint 来静态分析你的代码. 静态代码分析可以让你在早期捕获一些潜在的BUG.

测试

这一点不言而喻:测试,测试再测试。

不仅仅是单元测试,你应该进行全面测试(test pyramid)。

不要直接使用: sudo node app.js

很多人使用超级用户权限运行Node应用,不是吗?因为他们希望应用程序直接侦听80或443端口(注* http和https的默认端口)

这一点是不对的,进程中的任何一个错误/漏洞都将让整个系统宕机,然后你就什么也干不了。

所以你应该使用一个HTTP反向代理服务去转发这些请求。可以用nginx, Apache 你看着办。

避免命令(shell command)注入

下面的代码段有什么问题?

child_process.exec('ls', function(err, data) {  

   console.log(data);

});

child_process.exec 命令调用的是 /bin/sh, 它启动了一个解释器,而非程序。

这是有问题的,当该方法执行用户输入的一个方法,比于一个反引号或$()中的内容,一个新的命令就可能被攻击者注入。

为了避免这个问题,你只需要使用child_process.execFile。详解

临时文件

创建文件时,如处理上传的文件格外注意。这些文件可以轻松吃掉你所有的磁盘空间。

为了解决这个问题,你应该使用Streams。

加密你的Web应用

不光是Node-所有的Web应用程序都应该加密。(注* https)

跨站脚本攻击(Reflected Cross Site Scripting)

发生这种情况时,攻击者注入可执行代码的HTTP响应。一个应用程序容易受到这种类型的攻击,它会在客户端执行未验证的脚本(主要是用Javascript写的)。它使攻击者能够窃取cookie,剪贴板的内容或修改页面本身。

比如

http://example.com/index.php?user=<script>alert(123)</script>

如果这条用户查询未经过验证直接插入到DOM(HTML)中,它就会被执行。

怎么避免

永远不要往DOM中插入不可信的数据

在插入前去除HTML

防止Cookie被盗

默认情况下,Cookie可以通过Javascript在同一个域中读取。这样可能会被跨站点脚本攻击。而且它们还有可能被第三方的JavaScript库阅读。

例如

var cookies = document.cookie.split('; ');

怎样避免

为了防止这种情况,你可以在Cookies上使用HttpOnly,这个标签可以让JavaScript无法读取这个cookie。 (注* 比如服务器端用到的Cookie)

内容加密策略

内容安全策略(CSP)是一个附加的安全层,帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。

CSP可以通过 Content-Security-Policy 被启用。

比如:

Content-Security-Policy: default-src 'self' *.mydomain.com

注* CSP的更多内容

这个header头信息将只接收信任的域名及其子域名的发过来的内容。

跨站请求伪造 (Cross-Site Request Forgery)

CSRF是一种迫使终端用户在他目前已验证授权的Web应用程序中执行其它的actions。

这时侯问题就可能发生了,因为cookie也会发送到被请求的网站(此网站你已经被授权) - 即使当这些请求来自不同的位置。

例如

<body onload="document.forms[0].submit()">

   <form method="POST" action="http://yoursite.com/user/delete">

   <input type="hidden" name="id" value="123555.">

 </form>

</body>

注* 此页面在另外一个域名中

这样会直接导致这个用户信息被删除。

怎样阻止

为了防止CSRF,您应该实现同步令牌模式 - 幸运的是,node社区已经帮你做了。下面是它的工作原理:

当发起一个GET请求时,服务器检查你的CSRF令牌 - 如果它不存在,创建一个

当用户显示输入时,确保添加一个隐藏的CSRF令牌值

当Form表单提交时,确保该值与该表单与Session中的内容相匹配

相关文章
|
29天前
|
存储 监控 安全
如何在Python Web开发中确保应用的安全性?
如何在Python Web开发中确保应用的安全性?
|
19天前
|
机器学习/深度学习 JavaScript Cloud Native
Node.js作为一种快速、可扩展的服务器端运行时环境
Node.js作为一种快速、可扩展的服务器端运行时环境
31 8
|
23天前
|
JavaScript
使用Node.js创建一个简单的Web服务器
使用Node.js创建一个简单的Web服务器
|
1月前
|
XML 前端开发 JavaScript
PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑
本文深入探讨了PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑;Ajax则通过异步请求实现页面无刷新更新。文中详细介绍了两者的工作原理、数据传输格式选择、具体实现方法及实际应用案例,如实时数据更新、表单验证与提交、动态加载内容等。同时,针对跨域问题、数据安全与性能优化提出了建议。总结指出,PHP与Ajax的结合能显著提升Web应用的效率和用户体验。
46 3
|
29天前
|
JavaScript
使用node.js搭建一个express后端服务器
Express 是 Node.js 的一个库,用于搭建后端服务器。本文将指导你从零开始构建一个简易的 Express 服务器,包括项目初始化、代码编写、服务启动与项目结构优化。通过创建 handler 和 router 文件夹分离路由和处理逻辑,使项目更清晰易维护。最后,通过 Postman 测试确保服务正常运行。
47 1
|
17天前
|
云安全 安全 网络协议
游戏服务器被攻击,游戏盾防护具有哪些作用
在数字化时代蓬勃发展,但也面临着黑客攻击、DDoS和CC攻击等网络安全威胁。游戏盾防护应运而生,专为游戏行业提供全面的网络安全解决方案,不仅有效防御大型DDoS攻击,还能精准抵御特有TCP协议的CC攻击,同时通过智能行为分析和业务安全防护,确保游戏服务器的稳定运行,提升用户体验,维护游戏生态和品牌声誉,助力游戏行业健康发展。
|
1月前
|
缓存 负载均衡 监控
性能优化:Node.js高效服务器开发技巧与最佳实践
【10月更文挑战第29天】在Node.js服务器开发中,性能优化至关重要。本文介绍了几种高效开发的最佳实践,包括使用缓存策略、采用异步编程、实施负载均衡和性能监控。通过示例代码展示了如何实现这些技术,帮助开发者构建更快、更稳定的Node.js应用。
76 2
|
2月前
|
JSON JavaScript 前端开发
使用 Node.js 和 Express 构建 RESTful API 服务器
【10月更文挑战第3天】使用 Node.js 和 Express 构建 RESTful API 服务器
|
2月前
|
Java PHP
PHP作为广受青睐的服务器端脚本语言,在Web开发中占据重要地位。理解其垃圾回收机制有助于开发高效稳定的PHP应用。
【10月更文挑战第1天】PHP作为广受青睐的服务器端脚本语言,在Web开发中占据重要地位。其垃圾回收机制包括引用计数与循环垃圾回收,对提升应用性能和稳定性至关重要。本文通过具体案例分析,详细探讨PHP垃圾回收机制的工作原理,特别是如何解决循环引用问题。在PHP 8中,垃圾回收机制得到进一步优化,提高了效率和准确性。理解这些机制有助于开发高效稳定的PHP应用。
53 3
|
2月前
|
Web App开发 JavaScript 前端开发
使用Node.js和Express框架构建Web服务器
使用Node.js和Express框架构建Web服务器
下一篇
DataWorks