在我的nodejs服务器防止xhr攻击
我正在开发一个nodejs服务器,它将与客户端移动应用程序进行交互。我在服务器上遇到了一些名为XSS和XHR的攻击。我遇到了一个名为node-validator的模块,这对于处理和validationinput非常有用。我需要一个想法是否XSS和XHR攻击有相同的效果,如果该模块是有用的两个。任何想法,这将是非常有益的。
如果你使用expressjs / connect,那么在连接中有一个“内置的” csrf中间件 。
XSS攻击也被称为跨站点脚本攻击。 攻击者利用未经过清理的input字段将JavaScript注入应用程序。 一个常见的例子是,如果攻击者设法注入JavaScript的博客张贴评论。 那么(如果不恰当地消毒)每次有人看到评论时都会执行。 这种types的攻击的例子可以在这里阅读。
XHR攻击只是XSS攻击的延伸,在这里,注入的脚本将AJAX调用返回到域服务器。
防止这类攻击实际上是相当容易的。 通过validationinput(剥离HTML标签)和转义特殊字符,如“,”,等等,你可以防止这个。我肯定会推荐使用一个外部库,因为你可能会错过你自己的东西。
此外,这是一个类似的问题,可以帮助你。 在将其添加到JavaScript中的DOM之前清理用户input