2

用户可以在我们的网站上获得他们自己的子网站,这样 www.example.com/subsite/gary 就会成为特定用户的子网站。

但是我担心单应性 / unicode 欺骗攻击的可能性,恶意用户使用不同的用户名创建一个帐户,但使用的 unicode 字符对其他人来说是相同的,这样就可以传递一个声称是 gary 的链接当它实际上是其他人时。

我见过的唯一看起来成熟的解决方案是 UCAPI http://www.casaba.com/products/UCAPI/但我不想使用它,我希望有一些适用于 node.js 的东西。(如果需要,我宁愿自己实现)

有没有人可以用 node.js 检查这些类型的单应性/欺骗攻击的例子?

4

2 回答 2

0

您可以尝试使用Node.js v0.12 中提供的Unicode 规范化String.prototype.normalize,但我怀疑它会处理所有可能的攻击向量。

使用UCAPI — 它专为您的具体用例而设计。

于 2015-05-28T06:12:59.750 回答
0

等待足够长的时间,有人会为你实现它 - https://www.npmjs.com/package/homoglyph-search

于 2017-09-05T11:06:48.657 回答