必须谨记!Node.js安全开发技巧

Posted CSDN

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了必须谨记!Node.js安全开发技巧相关的知识,希望对你有一定的参考价值。

【编者按】互联网安全事件层出不群,用户每时每刻都有可能会遭受攻击者袭击。作为软件开发人员,则是最大限度的保证应用程序安全。本文主要是对Node.js语言作出的安全开发建议。


以下为译文:


毫无疑问,Node.js已经变的愈加成熟,尽管这样,开发者仍然缺乏大量的安全指南。在这篇文章中,我将分享一些有关Node.js安全要点给大家,希望大家能够谨记于心。

1.避免使用Eval


Eval并不是唯一一个需要避免的函数,在后台,下面这几个表达式可以使用eval:


setInterval(String, 2)

setTimeout(String, 2)

new Function(String)


为什么要禁止使用eval?因为它会打开代码引起注入攻击,并且降低运行速度。


2.请用严苛模式(Strict mode)


这种情况下,你可以使用一个受限制的javascript变量,它可以消除一些隐性错误并且会把这些错误抛出去。


3.Undeletable属性


'use strict';

delete Object.prototype; // TypeError

4.对象声明必须是独一无二的


'use strict';

var obj = {

a: 1,

a: 2

};

// syntax error


5.Prohibits with


var obj = { x: 17 };

with (obj) // !!! syntax error

{

}


获得这些隐性错误的完整列表,你可以访问 MDN。


6.测试


不用说,测试,测试,多点测试~


当然,不仅仅是单元测试,直戳 测试金字塔。


7.对sudo node app.js说再见


我看到很多人在运行拥有超级用户权限的Node APP,为什么?因为他们想让应用程序能够监听80或443端口。


这种做法是错误的。小心一个错误/bug进程就能降低整个系统,因为它已经拥有合法的凭证去做任何事情。


取而代之,你应该设置一个HTTP服务器/代理来转换请求,可以是nginx、Apache等等。


8.避免命令注入


看看下面这段代码有什么问题?


child_process.exec('ls', function (err, data) {

console.log(data);

});


child_process.exec调用去执行/bin/sh,所以,这是一个bash注射器,而不是一个程序启动器。


当用户输入的内容传递到这个方法中,就会产生问题——要么是一个\要么就是$(),攻击者很可能会注入一个新的命令。


开发人员可以使用child_process.execFile来解决此类问题。访问 LiftSecurity来查看如何处理命令注入。


9.临时文件


开发人员在创建文件时要特别注意,例如处理上传文件。这些文件很容易吃掉你所有的磁盘空间。


解决方法是使用Streams。


10.确保Web应用程序安全


这里不仅仅是针对Node——而是关于如何确保你的Web应用程序安全。


11.跨站脚本反射


当攻击者把代码注入到HTTP响应时,这种情况才会发生。应用程序在返回无效的输入到客户端时(大多数都是基于JavaScript编写的),应用程序很容易遭受这种类型攻击。攻击者可以盗取cookies、执行剪贴板和修改页面本身。


具体示例:


<a href="http://example.com/index.php?user=<script">http://example.com/index.php?user=<script</a>>alert(123)</script>


如果用户查询字符串在没有验证的情况下被发送回客户端,并且插入到DOM中,它便会执行。


如何预防:


  • 禁止插入不可信的数据到DOM中;

  • 在插入前进行html escape。

  • 点击链接可以查看更多关于 跨站脚本反射和 解决之道。


12.停止Cookie盗窃


默认情况下,在同一个域里,JavaScript可以读取cookies,在跨站脚本攻击里,这是非常危险的。不仅如此,任何第三方JavaScript库都可以读取它们。


示例:


var cookies = document.cookie.split('; ');

如何预防:


开发者可以在cookies里面设置httponly标记,这样,JavaScript便无法接近cookie了。


13.内容安全策略(CSP)


CSP(Content Security Policy)是一个额外添加的安全层,它有助于检测和减轻某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。


通过HTTP header中的Content-Security-Policy方法来启动CSP。


示例


Content-Security-Policy: default-src 'self' *.mydomain.com

这样便会允许内容来自可信域或子域。


14.跨站请求伪造(CSRF)


CSRF(Cross-Site Request Forgery)是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。


示例:


<body onload="document.forms[0].submit()">

<form method="POST" action="http://yoursite.com/user/delete">

<input type="hidden" name="id" value="123555.">

</form>

</body>

执行上面这段代码的后果就是轻易删除用户配置文件。


如何预防:


要想阻止CSRF,你应该实现同步令牌模式(Synchronizer Token Pattern),幸运的是,Node社区已经帮你完成了这件事。长话短说,一起来看看它的工作原理:


  • 当一个GET请求被服务检查为CSRF令牌——如果不存在,就创建一个;

  • 当用户输入显示时,确保要添加一个隐形的CSRF令牌值;

  • 当发送表单时,确保值是来自表单并且要与session相匹配。


行动


开发者应该有所行动,制作一个 Security Adventure车间来指导现实应用开发。


15.保护Express应用程序:Helmet


Helmet是一系列帮助增强Node之Express/Connect等Javascript Web应用安全的中间件。安全功能包括:


  • csp

  • crossdomain

  • xframe

  • xssfilter

  • 等等


16.使用工具


npm shrinkwrap:该命令可以给一个包的所有依赖关系上锁,并且创建一个npm-shrinkwrap.json文件。更多详情可以访问 NPM。

retire.js:retire.js是一个命令行扫描器,帮助你找到你应用中依赖库存在的漏洞。


如果你想了解更多关于Node安全方面的内容,你可以关注 Node Security 项目。他们的目标是审核NPM中的每一个模块,发现问题并修复问题。


本文为CSDN编译整理,点击“阅读原文”可查看全文并参与讨论。


以上是关于必须谨记!Node.js安全开发技巧的主要内容,如果未能解决你的问题,请参考以下文章

node.js 开发指南--调试

React + Node.JS 巧妙实现后台管理系统の各种小技巧(前后端)

掌握 Node.js 的 8 个技巧

提升 Node.js 应用性能的 5 个技巧。

Node.js、angular.js 和 MongoDB 入门、建模关系和其他提升技巧 [关闭]

针对PHP开发安全问题的相关总结_php技巧 - PHP