在NowJS中的安全性
我发现NowJS,第一眼看上去很酷。 我玩了教程,它运作良好。
现在我问自己:这有多安全? 是不是可以注入XSS? 安全问题是在我的应用程序中使用它的最大障碍。
我应该像以前一样使用socket.io,还是以一种安全的方式让NowJS更容易?
从now.js看这个博客文章:
http://blog.nowjs.com/nowjs-and-security
您可以通过客户端的服务器端function来清理input。 因为他们不传递函数体,所以你注射起来非常安全。
XSS是你必须自我保护的东西,你必须validation传入的数据,并在将其放入文档之前将其转义。 然而,更大的问题将是nowjs中允许代码执行或DOS与服务器混合的bug。
使用validation器模块validation器,您可以清理正在发送的内容:
everyone.now.distributeMessage = function(message) { var str = sanitize(message).xss(); everyone.now.receiveMessage(str); }
- 将hexstring转换为BYTE数组JS
- 在亚马逊lambda上使用mysql池
- ElasticBeanstalk nodejs.log找不到模块“hogan.js”
- 使导出默认使用Babel,webpack和Node.js
- 为什么在使用MongoDB的$ push将新对象添加到数组时,为什么添加了ObjectID的_id?
- 从外部Web服务获取图像,并将其传递给另一个快速js路由
- 使用PayPal-node-SDK(PayPal Express Checkout)支付授权和获取付款(未来)
- 随机错误的请求400与Socket.io 1.0.6错误
- grunt watch在Ubuntu 12.04上使用大量的CPU