xiaodisec day013
Day13探讨了文件上传与管理。使用了ueditor编辑器,关注点在文件上传后的下载方式:直连下载,由中间件确定文件类型,相对安全;传参下载可能带来安全隐患。文件删除功能中,目录和文件的删除被提及,尤其是文件删除被视为高危操作。此外,文件写入和包含引发安全问题,如通过上传带后门代码的图片执行文件包含。
xiaodisec day 011
在网络安全领域,Day11探讨了信息收集工具,如Fofa、Quake、Kunyu、Suize(水泽)和Ari(灯塔),以及Shodan和ZoomEye这四大搜索引擎。Fofa和Quake是常用的资产发现工具,用于查找中间件、OS及特定端口的资产。GitHub上有s7ckTeam/Glass和EASY233/Fighter等资源。灯塔和水泽提供综合服务,集成多种引擎,水泽可能更易用。OneForAll专注于子域名查询,虽自动化程度低但功能强大。
js开发:请解释什么是Express框架,以及它在项目中的作用。
【4月更文挑战第24天】Express是Node.js的Web开发框架,简化路由管理,支持HTTP请求处理。它包含中间件系统用于日志、错误处理和静态文件服务,集成多种模板引擎如EJS、Jade、Pug。框架还提供安全中间件提升应用安全,并具有良好的可扩展性,便于项目功能扩展和开发效率提升。
❤Nodejs 第十一章(用户登录完善)
【4月更文挑战第11天】在Node.js第十一章中,重点是完善用户登录系统。通过客户端发送的JWT token,服务器使用`express-jwt`中间件解析token并验证用户身份。在有权限的接口中,可以访问`req.user`获取用户信息。示例展示了如何获取和使用用户信息,包括从JWT中解码出的用户名(如`admin`),以及签发和过期时间戳。此外,还演示了如何根据接收到的用户名查询数据库以获取用户详细信息,从而确保登录功能的完整实现。
❤Nodejs 第十章(用户信息token认证和登录接口开发)
【4月更文挑战第10天】本文介绍了Node.js中实现用户信息token认证和登录接口的步骤。express-jwt的使用,接着创建基本的Express服务器,然后导入并使用jsonwebtoken和express-jwt。设置一个密钥,并定义一个中间件处理token验证。示例展示了登录接口的实现。遇到登录判断失效的问题后,对判断条件进行了优化。