這篇文章主要介紹“如何提高Node.js應(yīng)用程序的安全性”��,在日常操作中�,相信很多人在如何提高Node.js應(yīng)用程序的安全性問(wèn)題上存在疑惑�����,小編查閱了各式資料����,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”如何提高Node.js應(yīng)用程序的安全性”的疑惑有所幫助����!接下來(lái),請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧���!
在密山等地區(qū)����,都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局���,加強(qiáng)發(fā)展的系統(tǒng)性����、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力���,以專(zhuān)注、極致的服務(wù)理念����,為客戶(hù)提供網(wǎng)站制作、做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作按需網(wǎng)站建設(shè),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都營(yíng)銷(xiāo)網(wǎng)站建設(shè),成都外貿(mào)網(wǎng)站建設(shè)公司,密山網(wǎng)站建設(shè)費(fèi)用合理�。
1. 數(shù)據(jù)驗(yàn)證 - 永遠(yuǎn)不要信任你的用戶(hù)
來(lái)自用戶(hù)輸入或其他系統(tǒng)的數(shù)據(jù),你都必須要進(jìn)行驗(yàn)證��。否則��,這會(huì)對(duì)當(dāng)前系統(tǒng)造成威脅����,并導(dǎo)致不可想象的安全漏洞。現(xiàn)在�����,讓我們學(xué)習(xí)如何驗(yàn)證Node.js中的傳入數(shù)據(jù)��。你可以使用名為 validator 的模塊來(lái)執(zhí)行數(shù)據(jù)驗(yàn)證����。 例如:
const validator = require('validator'); validator.isEmail('foo@bar.com'); //=> true validator.isEmail('bar.com'); //=> false另外����,你也可以使用 joi 模塊來(lái)進(jìn)行數(shù)據(jù)和模型的驗(yàn)證���,例如:
const joi = require('joi'); try { const schema = joi.object().keys({ name: joi.string().min(3).max(45).required(), email: joi.string().email().required(), password: joi.string().min(6).max(20).required() }); const dataToValidate = { name: "Shahid", email: "abc.com", password: "123456", } const result = schema.validate(dataToValidate); if (result.error) { throw result.error.details[0].message; } } catch (e) { console.log(e); }2. SQL注入攻擊
SQL注入可以讓惡意用戶(hù)通過(guò)傳遞非法參數(shù)�,來(lái)篡改SQL語(yǔ)句��。下面是一個(gè)例子����,假設(shè)你寫(xiě)了這樣一個(gè)SQL:
UPDATE users SET first_name="' + req.body.first_name + '" WHERE id=1332;
在正常情況下,你希望這次查詢(xún)應(yīng)該是這樣的:
UPDATE users SET first_name = "John" WHERE id = 1332;
但是現(xiàn)在�����,如果有人將 first_name 的值按下面這種方式傳遞:
John", last_name="Wick"; --
這時(shí)��,你的SQL語(yǔ)句就會(huì)變成這樣:
UPDATE users SET first_name="John", last_name="Wick"; --" WHERE id=1001;
你會(huì)看到�����, WHERE 條件被注釋掉了,這次更新會(huì)將整張表所有用戶(hù)的 first_name 改成 John ����, last_name 改成 Wick 。這下��,你闖禍了!
如何避免SQL注入
避免SQL注入攻擊最有效的辦法就是將輸入數(shù)據(jù)進(jìn)行過(guò)濾��。你可以對(duì)每一個(gè)輸入數(shù)據(jù)逐一進(jìn)行驗(yàn)證�,也可以用參數(shù)綁定的方式驗(yàn)證����。開(kāi)發(fā)者們最常用的就是參數(shù)綁定的方式,因?yàn)樗咝Ф野踩?/p>
如果你在使用一些比較流行的ORM框架���,例如sequelize�����、hibernate等等���,那么框架中就已經(jīng)提供了這種數(shù)據(jù)驗(yàn)證和SQL注入保護(hù)機(jī)制。
如果你更喜歡依賴(lài)數(shù)據(jù)庫(kù)模塊����,例如 MySQL for Node ����,那么你可以使用數(shù)據(jù)庫(kù)提供的過(guò)濾方法��。下面代碼是使用 mysql for Node 的一個(gè)例子:
var mysql = require('mysql'); var connection = mysql.createConnection({ host : 'localhost', user : 'me', password : 'secret', database : 'my_db' }); connection.connect(); connection.query( 'UPDATE users SET ?? = ? WHERE ?? = ?', ['first_name',req.body.first_name, ,'id',1001], function(err, result) { //... });?? 的地方被字段名稱(chēng)替換��, ? 的地方被字段值替換��,這樣就保證了輸入值的安全性�。
你也可以使用存儲(chǔ)過(guò)程來(lái)提高安全級(jí)別,但是由于缺乏可維護(hù)性��,開(kāi)發(fā)人員傾向于避免使用存儲(chǔ)過(guò)程����。
同時(shí),你還應(yīng)該執(zhí)行服務(wù)器端的數(shù)據(jù)驗(yàn)證����。 但我不建議你手動(dòng)驗(yàn)證每個(gè)字段,可以使用 joi 等模塊來(lái)解決這個(gè)問(wèn)題���。
類(lèi)型轉(zhuǎn)換
JavaScript是一種動(dòng)態(tài)類(lèi)型語(yǔ)言��,即值可以是任何類(lèi)型����。你可以使用類(lèi)型轉(zhuǎn)換方法來(lái)驗(yàn)證數(shù)據(jù)的類(lèi)型,這樣就能保證���,只有指定類(lèi)型的數(shù)據(jù)才可以進(jìn)入數(shù)據(jù)庫(kù)����。比如�����,用戶(hù)ID只能是數(shù)字類(lèi)型��,看下面的代碼:
var mysql = require('mysql'); var connection = mysql.createConnection({ host : 'localhost', user : 'me', password : 'secret', database : 'my_db' }); connection.connect(); connection.query( 'UPDATE users SET ?? = ? WHERE ?? = ?', ['first_name',req.body.first_name, ,'id',Number(req.body.ID)], function(err, result) { //... });你注意到變化了嗎?這里我們使用了 Number(req.body.ID) 方法來(lái)確保用戶(hù)ID必須為數(shù)字����。
3. 應(yīng)用程序認(rèn)證和授權(quán)
敏感數(shù)據(jù)(例如密碼)應(yīng)該以一種安全的方式存儲(chǔ)在系統(tǒng)中���,這樣�,惡意用戶(hù)就不會(huì)濫用敏感信息�。在本節(jié)中����,我們將學(xué)習(xí)如何存儲(chǔ)和管理通用的密碼����,幾乎每個(gè)應(yīng)用程序在其系統(tǒng)中都有不同的密碼存儲(chǔ)方式。
密碼哈希
哈希是一個(gè)將輸入值生成固定大小字符串的函數(shù)�����。哈希函數(shù)的輸出值是無(wú)法解密的�,因此可以說(shuō)是“單向的”。因此�,像密碼這樣的數(shù)據(jù),存儲(chǔ)在數(shù)據(jù)庫(kù)中的值必須是哈希值��,而不是明文����。
你也許想知道,既然哈希是一種不可逆的加密方式���,那么攻擊者又是如何取得密碼訪(fǎng)問(wèn)權(quán)限的呢?
正如我上面提到的那樣�����,哈希加密使用輸入字符串并生成固定長(zhǎng)度的輸出值����。因此,攻擊者采取了相反的方法�����,他們從常規(guī)密碼列表中生成哈希���,然后將哈希與系統(tǒng)中的哈希進(jìn)行比較以找到密碼���。這種攻擊方式叫做查表法(Lookup Tables)
這就是為什么你作為系統(tǒng)架構(gòu)師,絕不允許系統(tǒng)中使用簡(jiǎn)單通用密碼的原因�。為了避免攻擊,你也可以使用一種叫”salt"的東西�,我們稱(chēng)之為“哈希加鹽法”����。將salt附加到密碼哈希中,從而使輸入值唯一���。salt值必須是隨機(jī)的不可預(yù)測(cè)的����。我們建議你使用的哈希算法是 BCrypt ,在Node.js中���,你可以使用bcyrpt節(jié)點(diǎn)模塊執(zhí)行哈希處理�����。
請(qǐng)參考下面例子中的代碼:
const bcrypt = require('bcrypt'); const saltRounds = 10; const password = "Some-Password@2020"; bcrypt.hash( password, saltRounds, (err, passwordHash) => { //we will just print it to the console for now //you should store it somewhere and never logs or print it console.log("Hashed Password:", passwordHash); });SaltRounds 函數(shù)是哈希函數(shù)的成本�����,成本越高��,生成的hash密碼越安全���。你應(yīng)該根據(jù)服務(wù)器的計(jì)算能力來(lái)確定salt值,密碼的hash值生成后���,用戶(hù)輸入的密碼將會(huì)和存儲(chǔ)在數(shù)據(jù)庫(kù)中的hash值比對(duì)�����,參考代碼如下:
const bcrypt = require('bcrypt'); const incomingPassword = "Some-Password@2020"; const existingHash = "some-hash-previously-generated" bcrypt.compare( incomingPassword, existingHash, (err, res) => { if(res && res === true) { return console.log("Valid Password"); } //invalid password handling here else { console.log("Invalid Password"); } });密碼存儲(chǔ)
無(wú)論你是用數(shù)據(jù)庫(kù)還是文件來(lái)存儲(chǔ)密碼�����,都不能使用明文存儲(chǔ)�。我們?cè)谏弦还?jié)已經(jīng)學(xué)到,你可以將密碼進(jìn)行哈希后存儲(chǔ)在數(shù)據(jù)庫(kù)中�。我推薦密碼字段用 varchar(255) 數(shù)據(jù)類(lèi)型,你也可以選擇不限長(zhǎng)度的字段類(lèi)型���。如果你使用的是 bcrypt ���,則可以使用 varchar(60) 字段類(lèi)型,因?yàn)閎crypt會(huì)生成固定長(zhǎng)度為60個(gè)字符的哈希�����。
認(rèn)證和授權(quán)
一個(gè)擁有合適的角色權(quán)限系統(tǒng)��,將會(huì)阻止一些惡意用戶(hù)在系統(tǒng)中做一些越權(quán)的事情��。為了實(shí)現(xiàn)正確的授權(quán)過(guò)程�,將合適的角色和權(quán)限分配給每個(gè)用戶(hù)�����,以便他們可以執(zhí)行權(quán)限范圍內(nèi)的某些任務(wù)。在Node.js中��,你可以使用著名的ACL模塊�,根據(jù)系統(tǒng)中的授權(quán)來(lái)開(kāi)發(fā)訪(fǎng)問(wèn)控制列表。
const ACL = require('acl2'); const acl = new ACL(new ACL.memoryBackend()); // guest is allowed to view blogs acl.allow('guest', 'blogs', 'view') // check if the permission is granted acl.isAllowed('joed', 'blogs', 'view', (err, res) => { if(res){ console.log("User joed is allowed to view blogs"); } });請(qǐng)查閱acl2文檔以獲取更多信息和示例代碼�。
4. 暴力攻擊防護(hù)
黑客經(jīng)常會(huì)使用軟件反復(fù)使用不同的密碼嘗試獲得系統(tǒng)權(quán)限,直到找到有效密碼為止�����,這種攻擊方式叫做暴力攻擊���。為了避免這種攻擊�����,一種簡(jiǎn)單有效的辦法是“讓他等一會(huì)”�����,也就是說(shuō)����,當(dāng)某人嘗試登錄系統(tǒng)并嘗試輸入無(wú)效密碼3次以上時(shí),請(qǐng)讓他們等待60秒左右����,然后再?lài)L試。這樣��,攻擊者將大大提高時(shí)間成本��,并且將使他們永遠(yuǎn)無(wú)法破解密碼����。
防止這種攻擊的另一種方法是屏蔽無(wú)效登錄請(qǐng)求的IP。系統(tǒng)在24小時(shí)內(nèi)允許每個(gè)IP進(jìn)行3次錯(cuò)誤地登錄嘗試����。如果有人嘗試進(jìn)行暴力破解,則將其IP封鎖24小時(shí)����。 許多公司已使用這種方法來(lái)防止暴力攻擊。 如果使用Express框架�����,則有一個(gè)中間件模塊可在傳入請(qǐng)求中啟用速率限制���。 它稱(chēng)為 express = brute �����。
下面是一個(gè)例子��。
安裝依賴(lài)項(xiàng)
npm install express-brute --save
在路由中啟用它
const ExpressBrute = require('express-brute'); const store = new ExpressBrute.MemoryStore(); // stores state locally, don't use this in production const bruteforce = new ExpressBrute(store); app.post('/auth', bruteforce.prevent, // error 429 if we hit this route too often function (req, res, next) { res.send('Success!'); } ); //...5. HTTPS安全傳輸
現(xiàn)在已經(jīng)2021年了��,你也應(yīng)該使用HTTPS來(lái)向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)了�����。HTTPS是具有安全通信支持的HTTP協(xié)議的擴(kuò)展���。使用HTTPS,可以保證用戶(hù)在互聯(lián)網(wǎng)中發(fā)送的數(shù)據(jù)是被加密的�����,是安全的����。
在這里我不打算詳細(xì)介紹HTTPS協(xié)議的工作原理,我們只討論如何使用它���。這里我強(qiáng)烈推薦使用 LetsEncrypt 來(lái)為你的所有域名生成安全證書(shū)�。
你可以在基于Apache和Nginx的Web服務(wù)器上使用LetsEncrypt。我強(qiáng)烈建議你在反向代理或網(wǎng)關(guān)層上使用HTTPS協(xié)議��,因?yàn)樗鼈冇泻芏喾敝氐挠?jì)算操作���。
6. 會(huì)話(huà)劫持保護(hù)
會(huì)話(huà)(session)是任何動(dòng)態(tài)Web應(yīng)用程序最重要的部分�,一個(gè)安全的會(huì)話(huà)對(duì)用戶(hù)和系統(tǒng)來(lái)說(shuō)真的是非常必要的��。會(huì)話(huà)是使用Cookie實(shí)現(xiàn)的��,因此必須確保其安全以防止會(huì)話(huà)劫持�����。以下是可以為每個(gè)cookie設(shè)置的屬性列表以及它們的含義:
secure - 該屬性告訴瀏覽器僅在通過(guò)HTTPS發(fā)送請(qǐng)求時(shí)才發(fā)送cookie����。
HttpOnly - 該屬性用于防止跨站點(diǎn)腳本攻擊,因?yàn)樗辉试S通過(guò)JavaScript訪(fǎng)問(wèn)cookie����。
domain - 該屬性用于與請(qǐng)求URL的服務(wù)器域名進(jìn)行比較,如果域名匹配��,或者是其子域,那么接下來(lái)就會(huì)檢查path屬性�。
path - 除了domian之外,還可以指定cookie有效的URL路徑�����。 如果domain和路徑匹配��,則可以在請(qǐng)求中發(fā)送cookie����。
expires - 該屬性用于設(shè)置持久性的cookie�,cookie只會(huì)在超過(guò)了設(shè)定的日期才會(huì)過(guò)期。
在Express框架中�,你可以使用 express-session npm模塊來(lái)管理會(huì)話(huà)。
const express = require('express'); const session = require('express-session'); const app = express(); app.use(session({ secret: 'keyboard cat', resave: false, saveUninitialized: true, cookie: { secure: true, path: '/'} }));7. 跨站點(diǎn)請(qǐng)求偽造攻擊(CSRF)防護(hù)
跨站點(diǎn)請(qǐng)求偽造攻擊利用系統(tǒng)中受信任的用戶(hù)��,對(duì)Web應(yīng)用程序執(zhí)行有害的惡意操作���。在Node.js中���,我們可以使用 csurf 模塊來(lái)緩解CSRF攻擊。該模塊需要首先初始化 express-session 或 cookie-parser �����,你可以看看下面的示例代碼:
const express = require('express'); const cookieParser = require('cookie-parser'); const csrf = require('csurf'); const bodyParser = require('body-parser'); // setup route middlewares const csrfProtection = csrf({ cookie: true }); const parseForm = bodyParser.urlencoded({ extended: false }); // create express app const app = express(); // we need this because "cookie" is true in csrfProtection app.use(cookieParser()); app.get('/form', csrfProtection, function(req, res) { // pass the csrfToken to the view res.render('send', { csrfToken: req.csrfToken() }); }); app.post('/process', parseForm, csrfProtection, function(req, res) { res.send('data is being processed'); }); app.listen(3000);在網(wǎng)頁(yè)上,你需要?jiǎng)?chuàng)建一個(gè)隱藏輸入域��,將CSRF令牌保存在該輸入域中�����,例如:
Favorite color: Submit
如果使用的是AJAX請(qǐng)求���,那么CSRF令牌可以通過(guò)請(qǐng)求頭(header)來(lái)傳遞�����。
var token = document.querySelector('meta[name="csrf-token"]').getAttribute('content'); headers: { 'CSRF-Token': token }8. 拒絕服務(wù)
拒絕服務(wù)或DOS攻擊�,可以讓攻擊者通過(guò)破壞系統(tǒng)���,使系統(tǒng)被迫關(guān)閉服務(wù)或用戶(hù)無(wú)法訪(fǎng)問(wèn)服務(wù)��。攻擊者通常會(huì)向系統(tǒng)發(fā)送大量的流量和請(qǐng)求��,從而增加服務(wù)器CPU和內(nèi)存負(fù)載��,導(dǎo)致系統(tǒng)崩潰�����。為了緩解Node.js應(yīng)用程序中的DOS攻擊��,首先是要識(shí)別此類(lèi)事件����, 我強(qiáng)烈建議將這兩個(gè)模塊集成到系統(tǒng)中。
鴻蒙官方戰(zhàn)略合作共建——HarmonyOS技術(shù)社區(qū)
Account lockout - 在n次嘗試失敗后�,將帳戶(hù)或IP地址鎖定一段時(shí)間(例如24小時(shí)?)
Rate limiting - 限制用戶(hù)在特定時(shí)間段內(nèi)只能請(qǐng)求系統(tǒng)n次�,例如,單個(gè)用戶(hù)每分鐘只能請(qǐng)求3次�。
正則表達(dá)式拒絕服務(wù)攻擊(ReDOS)是DOS攻擊的一種,攻擊者利用系統(tǒng)中正則表達(dá)式的設(shè)計(jì)缺陷或計(jì)算復(fù)雜度來(lái)大量消耗服務(wù)器的系統(tǒng)資源����,造成服務(wù)器的服務(wù)中斷或停止。
我們可以使用一些工具來(lái)檢查有風(fēng)險(xiǎn)的正則表達(dá)式�,從而避免這些正則表達(dá)式的使用。例如這個(gè)工具:
https://github.com/davisjam/vuln-regex-detector
9. 依賴(lài)關(guān)系驗(yàn)證
我們?cè)陧?xiàng)目中都使用了大量的依賴(lài)項(xiàng)��。我們還需要檢查并驗(yàn)證這些依賴(lài)關(guān)系��,以確保整個(gè)項(xiàng)目的安全性����。NPM已經(jīng)具有這樣的審核功能來(lái)查找項(xiàng)目的漏洞�。只需在源代碼目錄中運(yùn)行下面的命令即可:
npm audit
要修復(fù)漏洞�,可以運(yùn)行此命令:
npm audit fix
您也可以先進(jìn)行 dry run 來(lái)檢查修復(fù)程序,然后再將其應(yīng)用到項(xiàng)目中����。
npm audit fix --dry-run --json
10. HTTP安全頭信息
HTTP提供了一些安全頭信息,可以防止常見(jiàn)的攻擊�����。如果使用的是Express框架�,則可以使用 helmet 模塊,1行代碼就可以啟用所有安全頭��。
npm install helmet --save
下面來(lái)看看如何使用:
const express = require("express"); const helmet = require("helmet"); const app = express(); app.use(helmet()); //...這將啟用以下HTTP頭:
這些HTTP頭可防止惡意用戶(hù)的各種攻擊���,例如點(diǎn)擊劫持�,跨站點(diǎn)腳本攻擊等��。
到此��,關(guān)于“如何提高Node.js應(yīng)用程序的安全性”的學(xué)習(xí)就結(jié)束了����,希望能夠解決大家的疑惑����。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)��,快去試試吧�!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站����,小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章!
當(dāng)前題目:如何提高Node.js應(yīng)用程序的安全性
網(wǎng)頁(yè)網(wǎng)址:
http://weahome.cn/article/gphhjh.html
重慶分公司
重慶分公司
