我正在开发一个 nodejs 服务器,它将与客户端移动应用程序交互。我在服务器上遇到了一些称为 XSS 和 XHR 的攻击。我遇到了一个名为 node-validator 的模块,它对于处理和验证输入很有用。我需要关于 XSS 和 XHR 攻击是否具有相同效果以及该模块是否对两者都有用的想法。任何关于此的想法都会非常有帮助。
问问题
1387 次
2 回答
2
如果您使用的是 expressjs/connect,那么在 connect 中有一个“内置” csrf 中间件。
于 2013-03-08T04:28:43.727 回答
2
XSS 攻击也称为跨站点脚本攻击。当攻击者利用未经过滤的输入字段将 javascript 注入应用程序时。一个常见的例子是,如果攻击者设法将 javascript 注入到博客文章评论中。然后(如果清理不当)每次有人查看评论时都会执行。可以在此处阅读此类攻击的示例。
XHR 攻击只是 XSS 攻击的扩展,其中注入的脚本使 AJAX 回调到域服务器。
实际上,防止这些类型的攻击相当容易。通过验证您的输入(去除 HTML 标记)并转义特殊字符,如“、'、` 等,您可以防止这种情况发生。我绝对建议您为此使用外部库,因为您可能会自己错过一些东西。
另外,这是一个类似的问题,可能会对您有所帮助。在将用户输入添加到 Javascript 中的 DOM 之前对其进行清理
于 2013-03-08T03:56:53.197 回答