在NowJS中的安全性
我发现NowJS,第一眼看上去很酷。 我玩了教程,它运作良好。
现在我问自己:这有多安全? 是不是可以注入XSS? 安全问题是在我的应用程序中使用它的最大障碍。
我应该像以前一样使用socket.io,还是以一种安全的方式让NowJS更容易?
从now.js看这个博客文章:
http://blog.nowjs.com/nowjs-and-security
您可以通过客户端的服务器端function来清理input。 因为他们不传递函数体,所以你注射起来非常安全。
XSS是你必须自我保护的东西,你必须validation传入的数据,并在将其放入文档之前将其转义。 然而,更大的问题将是nowjs中允许代码执行或DOS与服务器混合的bug。
使用validation器模块validation器,您可以清理正在发送的内容:
everyone.now.distributeMessage = function(message) { var str = sanitize(message).xss(); everyone.now.receiveMessage(str); }