个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
25
4
我正在开发基于 NodeJs/Express 的网站项目,对于某些 UI 部分,我正在使用 Jquery ajax 请求来获取辅助数据。
我们如何处理浏览器用于 ajax 调用的 Rest API 端点的一些基本控制?我在考虑某种 token 授权,但一旦被拦截,其他客户端(脚本等)也可以使用它,那么我们如何保护我们的服务器免受不需要的请求?在这种情况下应该使用哪些其他控件(识别来自同一客户端的太多请求、客户端黑名单等)?
最佳答案
主要有认证、授权、安全三个主题。我将提供链接,并且只会很快给出答案。主题足够大,可以写几本书。
身份验证 - 谁是提出请求的人。身份验证用户有很多“策略”。请为此检查最流行的模块:http://passportjs.org/docs .
当然,您可以单独实现一种或多种此类策略。
对于无状态身份验证,jwt tokens 非常方便。如果您想自己编写代码(Passport 有此策略),请检查此链接(网络中的许多链接之一)https://scotch.io/tutorials/authenticate-a-node-js-api-with-json-web-tokens .
如何防止 token 拦截?始终使用 https 并设置较短的 token 过期时间。
在哪里存储您的 token 客户端?有关详细信息,请查看此 https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/简而言之,不要因为 XSS 攻击而存储在网络存储中。使用 cookie,当它们被正确配置时它们是安全的(更多信息在附加链接中),如果没有配置它们很容易受到威胁。
授权:我们知道用户,但他只能访问某些资源。请查看https://github.com/OptimalBits/node_acl有 node_acl 和护照的要点:https://gist.github.com/danwit/e0a7c5ad57c9ce5659d2简而言之,护照对用户进行身份验证。我们现在谁想要什么。我们设置角色和资源并定义角色和资源关系。然后我们为每个用户设置角色。模块将检查我们的用户权限。
安全性:请在 sails 框架文档中查找此主题 http://sailsjs.org/documentation/concepts/security他们描述了攻击以及框架如何阻止它们。我写 express :
DDOS:(您问题的一部分“来自同一客户端的请求过多”)“在 API 层,在预防方面可以做的事情不多”。这是服务器管理员最关心的问题。简而言之,使用负载均衡器。如果它是一个 IP(不是数百个),那么黑名单或 deley 响应(开始时请看这个 https://www.npmjs.com/package/delayed-request,但我认为该解决方案必须更复杂)。
CSRF:“强制最终用户在 Web 应用程序后端执行不需要的操作的攻击类型”。看这个模块https://www.npmjs.com/package/csrf
XSS:“恶意代理设法将客户端 JavaScript 注入(inject)您的网站的攻击类型”不信任来自用户的任何数据。始终验证、过滤、净化。看这个https://www.npmjs.com/package/xss
在帆的文档中,有更多的攻击类型,但以上是最受欢迎的。
关于node.js - NodeJS/express - 公共(public) API 端点的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32800608/
25
4
0
我的 Web 应用程序在后端使用 Node.js 和 Express。当违反内容安全策略 (CSP) 时,报告 URI 报告空对象。我的后台代码如下: app.use(bodyParser.urlen
在服务器端提供静态服务的方式在 Express 中似乎非常简单: To serve static files such as images, CSS files, and JavaScript fil
var express = require('express'); var app = express(); 这就是我们创建快速应用程序的方式。但是这个'express()'是什么?它是方法还是构造函
我在尝试安装时收到以下错误 express : npm ERR! code ERR_OSSL_PEM_NO_START_LINE npm ERR! errno ERR_OSSL_PEM_NO_STAR
如 express 所述routing guide和 this answer ,我们可以创建“迷你应用程序”并从主应用程序使用它。但是我看到一段代码,它在模块中使用 app 而不是 router ap
我正在写一个 NestJS应用。现在我想安装 Express中间件 express-openapi-validator . 但是,我无法让它工作。有一个 description for how to
我看过很多类似的帖子,似乎我声明的 var1 似乎需要在其他地方传递,但我似乎无法弄清楚。 public Expression> CreateEqualNameExpression(string ma
Express(或 Connect 的)bodyParser 中间件被标记为已弃用,建议用户改用: app.use(connect.urlencoded()) app.use(connect.json
我只是想知道这种看似尴尬的配置的原因是什么(来自 Getting Started w/ Apollo Server ), const server = new ApolloServer({ //
我正在尝试在表单组中写入表单控件特定的验证错误消息。我在网上找到了几个教程和示例 ( such as this one ),概述了一个看似简单的 *ngIf div,如果在控件上检测到错误,则显示错误
我有一个简单的 Express 应用程序,托管在 AWS 上,使用无服务器框架。 我正在使用 serverless-http 包装 express 应用程序以部署到 AWS lambda 函数,并使用
我最近在 mozilla 教程的帮助下安装了 node 和 express。我正在安装应用程序生成器的下一步,但是当我运行时 npm install express-generator -g 在我的终
我遇到过两种不同的方式来定义 express、use() 中间件,我想知道它们之间是否有任何区别,或者它是否只是语法糖? 一个 const app = express(); app.use(cors(
我试图让我的 Jade 模板编写一个相对于当前 URL 的超链接 ( )。 例如,我的 View 是从 http://localhost/cats 调用的它看起来像这样: extends layou
检查 Express 文档我在下面看到了这种解决方案: app.all('/*', function(req, res) { console.log('Intercepting request
我似乎无法弄清楚如何包含多个模型。 我有三个模型。Tabs, Servers, and PointsTabs hasMany ServerServers belongsTo Tabs and hasM
我已使用Web PI安装IIS Express。在托盘中,没有IIS Express图标。如何在不使用命令行的情况下启动IIS Express?我希望IIS永久运行,因此没有命令行。 最佳答案 参见R
我不想在我的网站上使用 Jade 或 EJS。如何在不默认使用 Jade 模板的情况下创建快速站点?谢谢 最佳答案 如果您想要的是直接为静态 html 文件提供缓存资源的可能性,同时仍然能够点击“/”
Express是否支持HTTP动词“PATCH”,例如: app.patch("/api/resource", function(req, res){ ... }); 我检查了文档,对我来说似乎还不清
我正在快速服务器中运行 vue SPA。问题是当使用历史模式并刷新页面时,我得到一个 404 not found 异常。我尝试使用 connect-history-api-fallback 但不起作用
我是一名优秀的程序员,十分优秀!