极简 Node.js 入门教程 · 语雀www.yuque.com
![2f6d16377aca044513afc9419df98544.png](https://img-blog.csdnimg.cn/img_convert/2f6d16377aca044513afc9419df98544.png)
egg.js 通过 egg-security 插件提供了大量的 web 安全防护
使用
框架的安全插件是默认开启的,如果我们想关闭其中一些安全防范,直接设置该项的 enable
属性为 false 即可。例如关闭 xframe 防范: config/config.default.js
exports.security = {
xframe: {
enable: false,
},
};
security 支持通过 match 和 ignore 配置生效范围,规则和中间件 match、ignore 一致
exports.security = {
csrf: {
ignore: '/example',
},
}
XSS
反射型 xss
反射型的 XSS 攻击,主要是由于服务端接收到客户端的不安全输入,在客户端触发执行从而发起 Web 攻击,防范方式主要是过滤用户的输入
内容输出过滤
当网站需要直接输出用户输入的结果时ÿ