Node.JS实战56:编写一个真正的模块,能发布到NPM上的模块!

最新推荐文章于 2023-08-15 19:00:00 发布
最新推荐文章于 2023-08-15 19:00:00 发布
阅读量260 收藏
点赞数
分类专栏: NodeJS编程实战 文章标签: node nodejs npm 模块开发 模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/104038954
版权

NPM是Node的包管理工具,Node的所有三方模块,都在NPM上。

今天的文章,是重量级的。

展示如何写一个真正的模块,并发布到NPM,可以让他人使用自己的模块!

首先是模块。

要发布到NPM,模块本身真是够份量的,实现了某个功能,或能真正解决某些问题,或在某些场景下能帮到他人。

模块:express-waf-middleware

本文的模块,来之前于前面文章讲到过的一个思路:给express写一个WAF。

今天将此模块变为现实。

index.js

//waf rules
var regexp_waf_rule = require("./rule.js").regexp_waf_rule;

//detect with waf rules
function waf_detect(type,value,log){
    for(i=0; i< regexp_waf_rule.length; i++){
        if(regexp_waf_rule[i].test(value) == true){
           
            var detect_result = { 
                "Warn:": "Express-waf-middleware detected attack.",
                "Type:": type,
                "Value:": value,
                "Rule number:":i,
                "Rule:": regexp_waf_rule[i].toString()
            };

            //display log info
            if(log){
			    console.log(detect_result);
            }
            return detect_result;
        }
    }
    return false;
}

//export
module.exports = function(options = {url:1,cookies:1,userAgent:1,body:1,log:1}){
    return function(req,res,next){
        
        if(options.url){
            if(options.log){
                console.log("Request url detected")
            }
            var detect_result = waf_detect("url",req.url,options.log);
            if(  detect_result != false){
                res.status(404);
                res.send(detect_result);
            }
        }
        
        if(options.cookies){
            if(options.log){
                console.log("Request cookies detected")
            }
            var detect_result = waf_detect("cookies",req.cookies,options.log);
            if(  detect_result != false){
                res.status(404);
                res.send(detect_result);
            }
        }
        
        if(options.userAgent){
            if(options.log){
                console.log("Request user-agent detected")
            }
            var detect_result = waf_detect("userAgent",req.headers["user-agent"],options.log);
            if(  detect_result != false){
                res.status(404);
                res.send(detect_result);
            }
        }

        if(options.body){
            if(options.log){
                console.log("Request body detected")
            }
            var detect_result = waf_detect("userAgent",req.headers["user-agent"],options.log);
            if(  detect_result != false){
                res.status(404);
                res.send(detect_result);
            }
        }

        next();
    }    
}

模块根目录下index.js总是模块的入口文件。

rule.js,模块index.js使用的,做为WAF的规则记录文章:

//Rules are from ShareWAF(sharewaf.com)
//You can edit the rules.
exports.regexp_waf_rule =[
    /select.+(from|limit)/i,
    /(?:(union(.*?)select))/i,
    /sleep\((\s*)(\d*)(\s*)\)/i,
    /group\s+by.+\(/i,
    /(?:from\W+information_schema\W)/i,
    /(?:(?:current_)user|database|schema|connection_id)\s*\(/i,
    /\s*or\s+.*=.*/i,
    /order\s+by\s+.*--$/i,
    /benchmark\((.*)\,(.*)\)/i,
    /base64_decode\(/i,
    /(?:(?:current_)user|database|version|schema|connection_id)\s*\(/i,
    /(?:etc\/\W*passwd)/i,
    /into(\s+)+(?:dump|out)file\s*/i,
    /xwork.MethodAccessor/i,
    /(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i,
    /\<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i,
    /(onmouseover|onmousemove|onerror|onload)\=/i,
    /javascript:/i,
    /\.\.\/\.\.\//i,
    /\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i,
    /(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv).*\|\|/i,
    /(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\//i
];

规则是可以编辑的,使用者可以自己修改。

还有一个测试文件:

var express = require('express');
var app = express();
var express_waf_middleware = require("./index");

var waf_options = {
    url: 1, //detect the url
    userAgent: 1,   //detect the user-agent
    cookies: 1, //detect the cookies
    body: 1,    //detect the body
    log: 0  //print log informaton
}
app.use(express_waf_middleware(waf_options));

app.get('/', function (req, res) {
    res.send('Hello world');
});

app.listen(8000);
console.log("Test server at port:8000");
console.log("You can use these urls for testing:")
console.log("http://127.0.0.1:8000/");
console.log("http://127.0.0.1:8000/add.asp?id=1' or select * from admin");
console.log("http://127.0.0.1:8000/<script>alert('hello');</script>")

此文件用于测试模块功能的正确性。

再则是package.json,此文件由:

npm init

创建:

 

{
  "name": "express-waf-middleware",
  "version": "0.0.3",
  "description": "a WAF(web application firewall) for the Express.",
  "main": "index.js",
  "scripts": {
    "test": "node test"
  },
  "keywords": [
    "express",
    "waf"
  ],
  "author": "WangLiwen<wangliwen@sharewaf.com>(http://www.sharewaf.com)",
  "license": "ISC",
  "dependencies": {
    "express": "^4.17.1"
  }
}

最后,是readme.md,用于介绍模块,会显示在npm网站页面上,当然是在提交之后。

## express-waf-middleware
a WAF(web application firewall) for the Express.

## Installation
```bash
$ npm install express-waf-middleware
```
## usage
```js
var waf_options = {
    url: 1, //detect the url
    userAgent: 1,   //detect the user-agent
    cookies: 1, //detect the cookies
    body: 1,    //detect the body
    log: 0  //print log informaton
}
app.use(express_waf_middleware(waf_options));
```

## example
```js
var express = require('express');
var app = express();
var express_waf_middleware = require("./index");

var waf_options = {
    url: 1, //detect the url
    userAgent: 1,   //detect the user-agent
    cookies: 1, //detect the cookies
    body: 1,    //detect the body
    log: 0  //print log informaton
}
app.use(express_waf_middleware(waf_options));

app.get('/', function (req, res) {
    res.send('Hello world');
});

app.listen(8000);
console.log("Test server at port:8000");
console.log("You can use these urls for testing:")
console.log("http://127.0.0.1:8000/");
console.log("http://127.0.0.1:8000/add.asp?id=1' or select * from admin");
console.log("http://127.0.0.1:8000/<script>alert('hello');</script>")
app.listen(3000)
```

提交模块到NPM

首先在npm官网注册帐号。

注意:注册后需要到邮件中激活,否则不能提交项目。

开始提交:

先要登录,

npm login

使用上面注册的帐号密码。

再使用项目提交指令:

npm publish

很快便提交成功。

来到npm官网,搜索:express-waf-middleware

确认提交成功。

再在项目中使用试试:

var express = require('express');
var app = express();
var express_waf_middleware = require("express-waf-middleware");

var waf_options = {
    url: 1, //detect the url
    userAgent: 1,   //detect the user-agent
    cookies: 1, //detect the cookies
    body: 1,    //detect the body
    log: 0  //print log informaton
}
app.use(express_waf_middleware(waf_options));

app.get('/', function (req, res) {
    res.send('Hello world');
});

app.listen(8000);
console.log("Test server at port:8000");
console.log("You can use these urls for testing:")
console.log("http://127.0.0.1:8000/");
console.log("http://127.0.0.1:8000/add.asp?id=1' or select * from admin");
console.log("http://127.0.0.1:8000/<script>alert('hello');</script>")

 

w2sfot
关注
专栏目录
express-waf:NodeJS Express 框架的小型 Web 应用程序防火墙
07-11
express-waf NodeJS Express 框架的小型 Web 应用程序防火墙
npm 设置代理_高端操作:DIY一台硬件WAF!透明代理、不怕断电、不怕系统故障!...
weixin_39615402的博客
11-24 358
硬件WAF,好像是很高端,很神密的样子啊,而且很贵、很贵、很贵。今天向大家展示如何DIY一台硬件WAF!系统:Linux CentOS软件:ShareWAF硬件需求:Bypass网卡简单说明:使用linux系统,是为了在系统中搭建网桥,有了网桥,就可以实现硬件WAF的透明代理效果。软件用ShareWAF,ShareWAF是一款WAF软件,可以在云端部署,也支持灌装硬件(这一点很重要)。而且,防护...
php安全学习笔记
E4857632的博客
10-17 281
一,LFI(Local File Include) 意思是能够打开并包含本地文件的漏洞。 相关函数:include(), require(), include_once(), require_once(), file_get_contents() file_get_contents():这个函数就是把一个文件里面的东西 (字符)全部return出来作为字符串。 除此之外...
file_get_contents和include学习笔记
m0_56059226的博客
08-11 1352
首先要了解 file_get_contents() 把整个文件读入一个字符串中。 该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。 当文件里的内容存在php的内容的时候,他不会执行php里面的内容,也不会打印在页面上,他会放在f12后的元素中的注释里,像是这样 只是打印出了数字的部分在页面上,要查看php的内容需要f12打开看,这里也可以用伪协议去读取 ...
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1514
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
Node.JS实战43:Prune,给项目瘦个身。
01-07
Node.JS的项目,都会依赖三方模块的。 在开发过程中,可能使用了某些模块,而后来的某个环节可能又不再使用。 而每次用个,每npm install一次,都会在node_modules中存留文件,如何往复,时久之外,node_modules...
v12.14.0版本的node.js 6.13.4版本的npm
最新发布
01-30
Node.jsnpm是JavaScript开发中的两个关键工具,它们在构建可扩展的网络应用和服务中扮演着重要角色。本文将深入探讨v12.14.0版本的Node.js和6.13.4版本的npm,以及它们在开发环境中的应用。 首先,Node.js一个...
Node.js-Practice:编写随机代码文件以学习node.js的基础知识和工作原理
05-09
2. EventEmitter类:Node.js的`events`模块提供了一个`EventEmitter`类,可以用来发布和监听事件。 3. 回调函数:Node.js中常用回调函数来处理异步操作的结果,防止回调地狱,可以使用Promise或async/await进行优化...
Node.js-Library:Node.js实战源代码-js
03-24
这个"Node.js-Library:Node.js实战源代码"项目显然是一个专注于展示如何在实际应用中使用 Node.js 的库,其中包含了丰富的源代码示例。以下是对该项目中可能涉及的知识点的详细解释: 1. **事件驱动编程**:Node.js...
node.js12.22.12+npm6.14.4
07-29
1. **ES 特性支持**:Node.js 12 支持 ECMA Script(ES)的多个新特性,如 async/await、Promise.allSettled、Object.fromEntries 等,这些特性极大地提升了编写异步代码的可读性和可维护性。 2. **性能优化**:此...
开源工具利器之软WAF:ngx_lua_waf
黑白的博客
08-15 4776
源码中,作者定义的策略要么是在白名单(IP、URI)中,直接return true,后面不用再检测,要么是在黑名单,say_html()后return true,不往后进行如果我们想做一个方法的白名单,只允许GET/POST/OPTIONS方法,客户端请求的方法只允许这三个,但是又要进行后面的参数、cookie等校验,你不能因为设置了方法白名单后,客户端发来一个GET请求,就不做后面的校验吧?
php webshell 木马,消灭php webshell与一句话木马
weixin_35990136的博客
03-11 860
总体来讲,对php webshell和一句话木马的查杀,主要从三个方面进行1.Shell特征2.PHP安全方面的函数和变量以及安全配置选项3.语法检测首先,基于Shell特征,此方法主要针对base64_decode编码与gzinflate等参考特征库与匹配算法:Web Shell Detector v1.51,当前共有296个特征https://github.com/emposha/PH...
分享一个php的防火墙,拦截SQL注入和xss
hetangyuese321的博客
09-22 580
这个是一个一个基于php的防火墙程序,拦截sql注入和xss攻击,无需服务器支持 安装 composer require xielei/waf 使用说明 $waf = new \Xielei\Waf\Waf(); $waf->run(); 自定义拦截规则 $rules = [ '\.\./', //禁用包含 ../ 的参数 '\<\?', //禁止php脚本出现 '\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入 'select([
Python re正则表达式速查
weixin_30878501的博客
08-21 238
* 文末 re 模块速查表 1. 特殊符号和字符 . 任意一个字符 .. 任意两个字符 .end end 之前的任意一个字符 f.o 匹配 f 和 o 之间的任意字符;如 fao、f9o、f#o | 择一匹配的管道符号 <=> [] ...
URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码
云博客_资源宝分享
02-17 803
URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码
【python小工具】chardet.detect 检测、转换文本编码
weixin_43326122的博客
08-06 1648
from chardet import detect as char_detect def change_encode_type(file_path, des='utf-8'): # 获取原文本的编码类型 with open(file_path, 'rb') as f: detect_result = char_detect(f.read(200)) src = detect_result['encoding'].lower() print('
php拦截xss,分享一个php的防火墙,拦截SQL注入和xss
weixin_34511324的博客
04-01 216
这个是一个一个基于php的防火墙程序,拦截sql注入和xss***,无需服务器支持安装composer require xielei/waf使用说明$waf = new \Xielei\Waf\Waf();$waf->run();自定义拦截规则$rules = ['\.\./', //禁用包含 ../ 的参数'\'\s*or\s+.*=.*', //匹配' or 1=1 ,防止sql注入's...
npm 发布公共组件库项目结构以及index.js 配置问题
子非渔
01-10 1755
1.首先说项目结构: 2.package.json 主要配置 version :版本号, 没次 nppm publish 要修改 private:要改为 false main:入口文件地址 要发布的组件需要 export 主要代码: `import EgMenu from "./EgMenu.vue"; // 为组件添加 install 方法,用于按需引入 EgMenu.install ...
java web攻击日志分析_多线程WEB安全日志分析脚本
weixin_35548486的博客
02-24 196
#!/usr/bin/python#-*-coding:utf-8-*-importosimportrefrommultiprocessing.dummyimportPoolasThreadPoolimportsysimporttimeimportpexpect#规则列表rulelist=['\.\./','select.+(from|limit)','(?:...
Node.js组件管道:npm模块打包与发布指南
资源摘要信息:"pipeline-nodejs-component 是一个基于 Node.js 的工程软件项目,该项目使用了 npmNode Package Manager)进行模块的打包、发布和安装。npm 是 JavaScript 语言的包管理工具,它允许用户下载、安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值