Node.js 安全清单

最新推荐文章于 2024-09-15 14:50:06 发布
最新推荐文章于 2024-09-15 14:50:06 发布
阅读量96 收藏
点赞数
文章标签: 运维 javascript 前端 ViewUI
原文链接:https://my.oschina.net/u/3472227/blog/1068724
版权

摘要: 前言 安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。 以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。

前言

安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。

以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。但是,其中也包含一些用Node.js写的小工具。

配置管理

安全性相关的HTTP头

以下是一些安全性相关的HTTP头,你的站点应该设置它们:

  • Strict-Transport-Security:强制使用安全连接(SSL/TLS之上的HTTPS)来连接到服务器。

  • X-Frame-Options:提供对于“点击劫持”的保护。

  • X-XSS-Protection:开启大多现代浏览器内建的对于跨站脚本攻击(XSS)的过滤功能。

  • X-Content-Type-Options: 防止浏览器使用MIME-sniffing来确定响应的类型,转而使用明确的content-type来确定。

  • Content-Security-Policy:防止受到跨站脚本攻击以及其他跨站注入攻击。

Node.js中,这些都可以通过使用Helmet模块轻松设置完毕:

 
  1. var express = require('express');
  2. var helmet = require('helmet');
  3.  
  4. var app = express();
  5.  
  6. app.use(helmet());

Helmet在Koa中也能使用:koa-helmet

当然,在许多的架构中,这些头会在Web服务器(Apache,nginx)的配置中设置,而不是在应用的代码中。如果是通过nginx配置,配置文件会类似于如下例子:

 
  1. # nginx.conf
  2.  
  3. add_header X-Frame-Options SAMEORIGIN;
  4. add_header X-Content-Type-Options nosniff;
  5. add_header X-XSS-Protection "1; mode=block";
  6. add_header Content-Security-Policy "default-src 'self'";

完整的例子可以参考这个nginx配置

如果你想快速确认你的网站是否都设置这些HTTP头,你可以通过这个网站在线检查:http://cyh.herokuapp.com/cyh 。

客户端的敏感数据

当部署前端应用时,确保不要在代码中暴露如密钥这样的敏感数据,这将可以被所有人看到。

现今并没有什么自动化检测它们的办法,但是还是有一些手段可以用来减少不小心将敏感数据暴露在客户端的概率:

  • 使用pull request更新代码

  • 建立起code review机制

转载于:https://my.oschina.net/u/3472227/blog/1068724

chuanggangbo5551
关注
nodejs后端_如何使Nodejs后端安全
编程故事的地方
01-08 1097
nodejs后端 如您所知,如今对于所有类型的初创公司来说,安全性都变得越来越重要。 作为启动所有者,首先应注意Web应用程序的安全性。 请记住,用户信任您的信息,因此您应该专业地关心他们的数据,否则,如果有人黑客您的Web应用程序并窃取了数据,您将失败并失去客户。 建立一个Saas业务或众包平台都没关系。 您收集什么样的数据都没有关系。 您必须关心平台的安全性。 我们将在本教程中介...
NodeJs 安全设计规范
Nodejs
09-11 549
CSRF攻击 什么是CSRF? 跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 一个网页通常会通过POST/PUT/DELETE请求更改对应用户...
nodejs提高工程安全、效率相关的中间件
Richardwei~的专栏
03-28 2882
应用加固:helmetHelmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。安装Helmet:npm install helmet --save
[译]Node.js安全清单
weixin_34008805的博客
10-15 229
前言 安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。 以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。但是,其中也包含一些用Node.js写的小工具。 配置管理 安全性相关的HTT...
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
weixin_30556161的博客
02-11 295
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二) HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec HTTP-based dynamic pu...
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单(SBOM)
04-29
用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单(SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 ...
builtin-modules:Node.js内置模块列表
05-26
Node.js内置模块列表 该列表只是一个,可以在任何地方使用。 安装 $ npm install builtin-modules 用法 const builtinModules = require ( 'builtin-modules' ) ; console . log ( builtinModules ) ; //=> ['...
最大的Node.js CLI Apps最佳做法列表:sparkles:-Node.js开发
05-27
Node.js CLI Apps最佳实践一系列精选的最佳实践,涉及如何构建成功,富有同情心且用户友好的Node.js命令行界面(CLI)应用程序。 为什么使用本指南? Node.js CLI Apps最佳实践一系列精选的最佳实践,涉及如何构建...
Node.js制作的很棒的开源应用程序的精选列表-Node.js开发
05-27
该列表是由Node.js制作的令人敬畏的开源应用程序的精选清单。 有关包和资源的精选列表,请参阅AwesomeNode.js。 阅读有关该存储库如何在Hacker News上排名第一并在Github上达到1000颗星以上的故事。 CMS Keystone...
Due-Billspayment-Server-Node.js:使用MongoDB作为数据库的到期清单。 使用Node.js提取数据库
02-13
《基于Node.js与MongoDB构建到期清单支付服务器详解》 在现代互联网应用中,数据管理是核心部分之一,而Node.js作为JavaScript运行时环境,因其异步非阻塞I/O特性,成为构建高性能服务器的首选工具。MongoDB,作为...
[node] nodejs中的web安全
aefg95955的博客
02-18 719
配置管理 安全HTTP头 Strict-Transport-Security 强制实施与服务器的安全(HTTP over SSL / TLS)连接 X-Frame-Options 提供点击劫持保护 X-XSS-Protection 支持在最新的Web浏览器中内置的跨站点脚本(XSS)过滤器 X-Content-Type-Options 可防止浏览器从声明的内容类型中嗅探响应 Conte...
Node.js 应用开发详解13 网络安全:常见网络攻击以及防护策略
fegus的博客
09-28 1775
本讲介绍了常见的一些网络攻击方案,其次着重介绍了在 Node.js 中要注意的安全风险问题。网络攻击一般是面试中常被问及的题目,因此我们需要着重学习其原理,其次针对 Node.js安全问题则是你在编码过程中非常要注重的,避免在应用 Node.js 的过程中导致企业受到损失。如果你还有其他的一些安全性问题,也可以在本讲下面进行留言,我将和你一起探讨如何解决这些线上安全问题。下一讲我们将介绍一个可以轻松地协助我们来做各种性能提前校验的工具,其次会实践应用该工具融合到我们的框架中。
提高NodeJS网站的安全性:Web服务器防黑客攻击技巧
cangdu的专栏
01-03 823
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。 在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。 不用eval,赢得朋友 你不仅仅要避免使用eval - 你也应该避免使用在下列情况,他们等价于直接使用eval; setInterval(String, 2) setTimeout(String, 2) new Function(Str
Nodejs惊爆重大漏洞
keketebiluodi的博客
06-15 5977
作者:CNVD近日,国家信息安全漏洞共享平台(CNVD)收录了Node.js反序列化远程代码执行漏洞(CNVD-2017-01206,对应 CVE-2017-594)。攻利用漏洞执行远程执行操作系统指令,获得服务器权限。由于目前验证代码已经公开,极有可能诱发大规模网站攻击。一、漏洞情况分析Nodejs是一个Javascript运行环境(runtime),对Google V8引擎进行了封装。Node...
nodejs安全
qq_35264936的博客
07-11 836
nodejs安全 sql注入:窃取数据库内容 xss攻击: 窃取前端的cookie内容 密码加密:保障用户信息安全 server端攻击方式非常多,预防手段也多 通过webserver(nodejs)层面预防的 有些攻击需要硬件和服务来支持(需要op支持)如 DDOS sql注入 最原始最简单的攻击,从web2.0就有了sql注入攻击 攻击的方法: 输入一个sql片段,最终拼成一段攻击代码 执...
Node.js全局安全位置修改
郑志雄
03-24 2599
全局安装与本地安装 npm 的包安装分为本地安装(local)、全局安装(global)两种,从敲的命令行来看,差别只是有没有-g而已,比如 npm install express # 本地安装 npm install express -g # 全局安装我们一般选择第一种方式的时候安装基本不会出错,因为直观清楚,在那个地方安装的,我心里明白。 比如我现在要在桌面的一个文件
Node.js实践HTTP安全认证之一~~基本认证
阿朱的博科
11-01 2000
众所周知,近来有许多关于http网站更换为https的消息,http作为网站常用的网络协议到底有什么缺陷,http自己有什么样的安全认证体系,难道不能保证信息的完整性和安全性吗?带着这个疑问我最近详细阅读了《http权威指南》这本书,并且实际使用node.js作为服务端,一一实践书上提到的安全认证方法,同时记录下来以飨读者。本文从基础出发,先从最简单的开始。
镜像问题(k8s部署考试系统)
m0_70848838的博客
09-14 1157
如果使用containerd拉取不到镜像的话,就使用docker
Linux入门1
最新发布
m0_62770407的博客
09-15 993
Linux的内核源码开源,所以只需要在内核的基础上加入内核程序就能形成一个完美可用的“操作系统”。虚拟机的名字密码根据自己喜好设置即可,接下来我将虚拟机放到了D盘中,大小根据需求,接下来直接点击下一步即可。第一种是绝对路径,第二种是在。当不使用选项和参数,直接使用ls命令本体,表示:以平铺形式,列出当前工作目录下的内容。不同的发行版在Linux的基础部分都是相同的,本教程是以常用的CentOS为例展开。当Linux终端(命令行)打开的时候,会默认以用户的HOME目录作为当前的工作目录。
Node.js高效处理外部进程与子进程管理教程
Node.js中创建和管理外部进程是一个关键的主题,尤其当处理不适合Node.js事件驱动模型的任务时。Node.js虽然专注于高效处理I/O操作,但在遇到CPU密集型工作或需要执行外部命令的情况时,子进程机制就显得尤为重要。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值