Express框架进阶4---安全（转）

Posted 2023-03-21

参考技术A

以下内容基本与express中国网站 生产环境最佳实践：安全 一致

旧版本将不在维护，可能存在已知的漏洞

2-1 . 如果应用程序处理或传输敏感数据，请使用 传输层安全性 (TLS) 来保护连接和数据。这种技术用于加密数据，然后将其从客户机发送到服务器，以防止某些常见的（而且容易的）黑客攻击。虽然 Ajax 和 POST 请求可能不是很明显，似乎“隐藏”在浏览器中，但是其网络流量很容易受到 包嗅探 攻击和 中间人攻击 。
您可能很熟悉安全套接字层 (SSL) 加密。[TLS 就是下一代的 SSL]( https://msdn.microsoft.com/en-us/library/windows/desktop/aa380515(v=vs.85) 。换言之，如果您以前使用 SSL，请考虑升级到 TLS。一般而言，我们建议使用 nginx 来处理 TLS。要获取在 Nginx（和其他服务器）上配置 TLS 的优秀参考信息，请参阅 Recommended Server Configurations (Mozilla Wiki)。
此外，可以使用一种方便的 Let’s Encrypt 工具来获取免费的 TLS 证书，这是由 因特网安全研究组 (ISRG) 提供的免费、自动化的开放式认证中心 (CA)。
2-2 . 攻击者会根据此字段知道后台的框架，采取针对性攻击。
app.disable(\'x-powered-by\');

npm的包 Helmet 通过适当地设置 HTTP 头，帮助您保护应用程序避免一些众所周知的 Web 漏洞。

Helmet 实际上只使用以下九个较小中间件函数的集合，这些功能用于设置与安全相关的 HTTP 头：

4-1 . 将cookie中存储的session id的key设置为通用值如sessionID，在express的环境下，默认值为connect.sid;
4-2 . 设置cookie安全性选项：

引入的第三方依赖需经过安全检验。可以使用npm的nsp或requireSafe来检验第三方软件包的安全性。

以下是来自非常出色的 Node.js 安全核对表 的一些进一步建议。请参阅此博客帖子以了解关于这些建议的所有详细信息：

关注 Node 安全项目 公告，这可能会影响 Express 或应用程序使用的其他模块。一般而言，Node 安全项目是有关 Node 安全性的知识和工具的出色资源。

最后说明一点，和任何其他 Web 应用程序一样，Express 应用程序也容易受到各种基于 Web 的攻击。请熟悉已知的 Web 漏洞 并采取相应的预防措施。

Nodejs Express新手教程&高手进阶

Nodejs Express新手教程&高手进阶

Express是一个NodeJS平台的框架，主要用于构于Web服务器项目。

本文将通过示例介绍适合新手入门的Express基础使用，以及高手进阶知识，如：cookie、session、前端框架、负载均衡等。

建立Express项目时，首先使用命令npm init 在项目目录中执行初始化，并执行npm install express --save安装Express。然后即可进行开发。

01：express框架

运行结果:

02：中间件概念 

简单说，中间件（middleware）就是处理HTTP请求的函数。它最大的特点就是，一个中间件处理完，再传递给下一个中间件。App实例在运行过程中，会调用一系列的中间件。

每个中间件可以从App实例，接收三个参数，依次为request对象（代表HTTP请求）、response对象（代表HTTP回应），next回调函数（代表下一个中间件）。每个中间件都可以对HTTP请求（request对象）进行加工，并且决定是否调用next方法，将request对象再传给下一个中间件。

03：app.use 

每次都会调用默认的访问地址 ：

04：中间件应用 

调用结果：

05：中间件错误处理

06：异步函数错误捕获

运行结果:

07：模块化路由基础代码

08：构建模块化路由 

09：如何获取get请求参数 

10：获取Post请求参数

使用三方包body-parser。

11：前端框架

使用三方模块express-generator，然后再使用express命令初始化项目：express --view=pug，表示使用pug模板引擎对前端进行渲染。

执行完这一步就会自动生成需要的文件和文件目录层次，其中包括静态文件和接口简单例子，还用启动命令等，如下图：

接下来，使用 npm start命令启动项目，就可以在浏览器输入localhost:3000查看了：

12：Cookie

在Express中使用cookie的话，要借助cookie-parser中间件。

13：session

session是一种记录客户状态的方式，不同于cookie，session将将信息保存在服务器中。

session原理：session虽然不同于cookie，但是却是基于cookie运作的。当浏览器访问服务器并发送第一次请求时，服务端会创建一个session对象，生成一个类似于key：value的键值对，然后将cookie（key）返回到客户端。浏览器下次访问时，就可以携带cookie（key）找到对应的session（value）。

在express中使用session可借助express-session模块。

在实际项目中，我们大多会采用nginx，多服务负载均衡的方式减轻服务器压力，但是会有一个问题，就是有可能我们之前是在杭州的服务器设置了session，但是下次访问相同网址时如果时通过其他地方（比如深圳）的服务器就无法获取到之前在杭州服务器上设置的session。

所以在实际项目中，通常会将session存放在mongodb中，这样就可以多个服务器共同使用了，为实现这个功能，可再使用connect-mongo模块。

至此，已经实现了Express的新手基础入门，到熟练使用实现众多功能。

由上面的例子可以发现，Express有许多的三方模块，可用于实现各种功能，在我们的实际开发中，多数时间也就是使用这些模块。