Express框架进阶4---安全(转)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Express框架进阶4---安全(转)相关的知识,希望对你有一定的参考价值。

参考技术A

以下内容基本与express中国网站 生产环境最佳实践:安全 一致

旧版本将不在维护,可能存在已知的漏洞

2-1 . 如果应用程序处理或传输敏感数据,请使用 传输层安全性 (TLS) 来保护连接和数据。这种技术用于加密数据,然后将其从客户机发送到服务器,以防止某些常见的(而且容易的)黑客攻击。虽然 Ajax 和 POST 请求可能不是很明显,似乎“隐藏”在浏览器中,但是其网络流量很容易受到 包嗅探 攻击和 中间人攻击 。
您可能很熟悉安全套接字层 (SSL) 加密。[TLS 就是下一代的 SSL]( https://msdn.microsoft.com/en-us/library/windows/desktop/aa380515(v=vs.85) 。换言之,如果您以前使用 SSL,请考虑升级到 TLS。一般而言,我们建议使用 nginx 来处理 TLS。要获取在 Nginx(和其他服务器)上配置 TLS 的优秀参考信息,请参阅 Recommended Server Configurations (Mozilla Wiki)。
此外,可以使用一种方便的 Let’s Encrypt 工具来获取免费的 TLS 证书,这是由 因特网安全研究组 (ISRG) 提供的免费、自动化的开放式认证中心 (CA)。
2-2 . 攻击者会根据此字段知道后台的框架,采取针对性攻击。
app.disable(\'x-powered-by\');

npm的包 Helmet 通过适当地设置 HTTP 头,帮助您保护应用程序避免一些众所周知的 Web 漏洞。

Helmet 实际上只使用以下九个较小中间件函数的集合,这些功能用于设置与安全相关的 HTTP 头:

4-1 . 将cookie中存储的session id的key设置为通用值如sessionID,在express的环境下,默认值为connect.sid;
4-2 . 设置cookie安全性选项:

引入的第三方依赖需经过安全检验。可以使用npm的nsp或requireSafe来检验第三方软件包的安全性。

以下是来自非常出色的 Node.js 安全核对表 的一些进一步建议。请参阅此博客帖子以了解关于这些建议的所有详细信息:

关注 Node 安全项目 公告,这可能会影响 Express 或应用程序使用的其他模块。一般而言,Node 安全项目是有关 Node 安全性的知识和工具的出色资源。

最后说明一点,和任何其他 Web 应用程序一样,Express 应用程序也容易受到各种基于 Web 的攻击。请熟悉已知的 Web 漏洞 并采取相应的预防措施。

Nodejs Express新手教程&高手进阶

Nodejs Express新手教程&高手进阶

Express是一个NodeJS平台的框架,主要用于构于Web服务器项目。

本文将通过示例介绍适合新手入门的Express基础使用,以及高手进阶知识,如:cookie、session、前端框架、负载均衡等。

建立Express项目时,首先使用命令npm init 在项目目录中执行初始化,并执行npm install express --save安装Express。然后即可进行开发。

01:express框架

Nodejs

运行结果:

Nodejs

02:中间件概念 

简单说,中间件(middleware)就是处理HTTP请求的函数。它最大的特点就是,一个中间件处理完,再传递给下一个中间件。App实例在运行过程中,会调用一系列的中间件。

每个中间件可以从App实例,接收三个参数,依次为request对象(代表HTTP请求)、response对象(代表HTTP回应),next回调函数(代表下一个中间件)。每个中间件都可以对HTTP请求(request对象)进行加工,并且决定是否调用next方法,将request对象再传给下一个中间件。

Nodejs

03:app.use 

Nodejs

每次都会调用默认的访问地址 :

Nodejs

04:中间件应用 

Nodejs

调用结果:

Nodejs

05:中间件错误处理

Nodejs

06:异步函数错误捕获

Nodejs

运行结果:

Nodejs

07:模块化路由基础代码

Nodejs

08:构建模块化路由 

Nodejs

09:如何获取get请求参数 

Nodejs

10:获取Post请求参数

使用三方包body-parser。

Nodejs

11:前端框架

使用三方模块express-generator,然后再使用express命令初始化项目:express --view=pug,表示使用pug模板引擎对前端进行渲染。

执行完这一步就会自动生成需要的文件和文件目录层次,其中包括静态文件和接口简单例子,还用启动命令等,如下图:

Nodejs

接下来,使用 npm start命令启动项目,就可以在浏览器输入localhost:3000查看了:

Nodejs

12:Cookie

在Express中使用cookie的话,要借助cookie-parser中间件。

Nodejs

13:session

session是一种记录客户状态的方式,不同于cookie,session将将信息保存在服务器中。

session原理:session虽然不同于cookie,但是却是基于cookie运作的。当浏览器访问服务器并发送第一次请求时,服务端会创建一个session对象,生成一个类似于key:value的键值对,然后将cookie(key)返回到客户端。浏览器下次访问时,就可以携带cookie(key)找到对应的session(value)。

在express中使用session可借助express-session模块。

Nodejs

在实际项目中,我们大多会采用nginx,多服务负载均衡的方式减轻服务器压力,但是会有一个问题,就是有可能我们之前是在杭州的服务器设置了session,但是下次访问相同网址时如果时通过其他地方(比如深圳)的服务器就无法获取到之前在杭州服务器上设置的session。

所以在实际项目中,通常会将session存放在mongodb中,这样就可以多个服务器共同使用了,为实现这个功能,可再使用connect-mongo模块。

至此,已经实现了Express的新手基础入门,到熟练使用实现众多功能。

由上面的例子可以发现,Express有许多的三方模块,可用于实现各种功能,在我们的实际开发中,多数时间也就是使用这些模块。

以上是关于Express框架进阶4---安全(转)的主要内容,如果未能解决你的问题,请参考以下文章

Node.js Express 框架

[转] Nodejs 进阶:Express 常用中间件 body-parser 实现解析

Express/Koa/Hapi

Nodejs Express新手教程&高手进阶

node.js十大开发框架

浅谈对express中间件的的理解。