最近开始使用socket.io – 在向公众发布网站之前应该采取哪些安全措施?
套接字服务器不处理用户的任何login或任何input,它只是在一个mysql数据库提供给用户的信息。 没有使用socket.io之前,我不知道什么东西,我应该看看用它来开发。 例如有人可以访问.js“服务器”的内容? 因为我的包含一些敏感的数据,如SQL凭据。
socket.io具有与任何Web服务器和Web请求几乎相同的安全问题。 如果你没有做任何愚蠢的事情暴露你的服务器端文件,他们通常不会被访问。 我们必须看到你的实际服务器端代码,以知道你是否意外地暴露了任何东西。 保护你的服务器和你的SQL数据库的主要原因是你必须validation所有传入的参数,以确保没有你期望的东西被发送给你,这可能会导致你的代码意外地做一些不是有意的事情。
而且,确保避免使用SQL查询它的一件大事就是确保没有任何内容直接发送到SQL查询中,因为这会使您暴露于SQL注入攻击,攻击者向您发送的参数不符合“期待你把它放到一个SQL查询中,最后让它们在你的SQL服务器上运行它们自己的SQL。 在其他文章中有很多关于SQL注入的文章,如果你想了解更多。
既然你说你不处理任何login,你可能知道你可以得到任意数量的socket.io连接,几乎任何人都可以连接(无论是从浏览器或从其他一些自定义的代理)。