0

node js应用程序中是否存在“直接浏览资源”攻击的可能性,我该如何预防?

编辑:我使用 express 框架

4

1 回答 1

0

Node.jshttp服务器不提供任何静态内容,它们只调用您的代码。如果有任何攻击的可能性,它将在您的代码中,而不是在 Node.js 核心或http模块中。

关于您的编辑:Express 提供了一个static中间件,如果您将其配置为从包含敏感资源的目录中提供静态文件,它可能会引发直接浏览攻击。如果您为静态内容保留一个专用目录,所有这些都可以安全地直接浏览,并且该目录下没有敏感内容,如果您使用 Express 的static中间件提供它,您将是安全的。

于 2012-06-05T10:02:13.723 回答