我找到了 NowJS,乍一看,它看起来很酷。我玩过教程,效果很好。
现在我问自己:这有多安全?不能注入XSS吗?安全问题是在我的应用程序中使用它的最大障碍。
我应该像以前一样使用 socket.io,还是 NowJS 是一种以安全方式使其更容易的好方法?
问问题
647 次
3 回答
4
看看 now.js 中的这篇博文:
http://blog.nowjs.com/nowjs-and-security
您可以通过客户端的服务器端功能清理输入。因为它们不转移函数体,所以您可以避免注入。
于 2011-11-21T17:13:22.600 回答
1
XSS 是你必须保护自己的东西,你必须验证传入的数据并在将其放入文档之前对其进行转义。然而,更大的问题是 nowjs 中允许代码执行或 DOS 反对服务器的错误。
于 2011-11-21T17:14:14.650 回答
1
使用验证器模块验证器,您可以清理发送的内容:
everyone.now.distributeMessage = function(message) {
var str = sanitize(message).xss();
everyone.now.receiveMessage(str);
}
于 2011-12-07T05:58:12.873 回答