クライアントモバイルアプリケーションと対話するnodejsサーバーを開発しています。サーバーに対するXSSおよびXHRと呼ばれる攻撃に遭遇しました。入力の処理と検証に役立つノードバリデーターと呼ばれるモジュールに遭遇しました。 XSS と XHR 攻撃に同じ効果があるかどうか、およびそのモジュールが両方に役立つかどうかについての考え。これに関する考えは非常に役に立ちます。
1387 次
2 に答える
2
Expressjs/connect を使用している場合は、 connect に「組み込み」のcsrf ミドルウェアがあります。
于 2013-03-08T04:28:43.727 に答える
2
XSS 攻撃は、クロス サイト スクリプティング攻撃とも呼ばれます。これは、攻撃者がサニタイズされていない入力フィールドを利用して JavaScript をアプリケーションに挿入する場合です。一般的な例は、攻撃者がブログ投稿のコメントに JavaScript を挿入することに成功した場合です。その後、(不適切にサニタイズされた場合) 誰かがコメントを表示するたびに実行されます。このタイプの攻撃の例は、ここで読むことができます。
XHR 攻撃は、挿入されたスクリプトがドメイン サーバーに AJAX コールバックを行う XSS 攻撃の拡張にすぎません。
これらのタイプの攻撃を防ぐのは実際にはかなり簡単です。入力を検証 (HTML タグを削除) し、"、'、` などの特殊文字をエスケープすることで、これを防ぐことができます。これには外部ライブラリを使用することをお勧めします。
また、これはあなたを助けるかもしれない同様の質問です。Javascript で DOM に追加する前にユーザー入力をサニタイズする
于 2013-03-08T03:56:53.197 に答える