前言
- 每种后端语言都有自己的XSS/CSRF防御机制, 通常是一些类库
Node应用也一样
nodejs xss 防御
-
xss.js 模块
- NPM ----- 地址
-
后端使用方式
- 安装方式 :
npm install xss
后端用法 : 对于用户的输入进行过滤 + 数据库取得数据进行过滤
- 举例 1:
let userInput = xss(req.body.userInput);
-
前端使用方式
- 安装方式 : 页面引入js文件, 下载地址 --- xss.js
- 前端用法 : 对于用户的输入、调用服务取得的json 进行过滤
- 代码片段 举例 1:
filterXSS('<script>alert("xss");</scr' + 'ipt>');
-
jQuery 及 基本dom操作
- 在不确定后端数据是否安全的情况下, 构造属性或节点时一定注意把json中的数据通过jQuery转换为文本或文本节点
- 方式 1 :
document.createTextNode(yourDirtyString);在给element的属性赋值时 可以使用 - 方式 2 :
$.val(yourDirtyString), val方法只会将传入的参数转换为string 文本, 安全 - 方式 3 :
$.("<input>",{ text : yourDirtyString, value : anything here }), 原理同上, 安全
- 方式 1 :
- 在不确定后端数据是否安全的情况下, 构造属性或节点时一定注意把json中的数据通过jQuery转换为文本或文本节点
nodejs csrf 防御
-
csrf 模块
NPM ------ 地址
-
安装方式 via npm
npm install csurf -
使用方式
-
第一步. 前端发起get请求(get页面)获得token, 服务端创建cookie和token,前端拿到token存起来 如可以放到form中的hidden input中,
注意的是 在默认的情况下这input的id需要指定为_csrf 才能被验证通过。只要确保发起其他post请求时 把token带上
第二步. 前端发起增删改查等post请求时, 带上token传过去, 服务端验证cookie和token, 若通过则处理请求, 否则默认返回403.
-
-
代码片段 expressjs(routes/someroute.js)第二步 - 服务端csrf模块,检验cookie与token
var cookieParser = require('cookie-parser'); var bodyParser = require('body-parser'); var csrf = require('csurf'); var csrfProtection = csrf({ cookie: true }) var parseForm = bodyParser.urlencoded({ extended: false }); //从req.body(也就是parseForm)中检验_csrf字段的值 和服务端进行匹配 router.post("/", parseForm, csrfProtection, function(req, res, next) { //todo } -
代码片段 expressjs (routes/getToken.js) 第一步:服务端csrf模块, 分配token
var express = require('express'); var router = express.Router(); var cookieParser = require('cookie-parser'); var bodyParser = require('body-parser'); var csrf = require('csurf'); /* csrf */ var csrfProtection = csrf({ cookie: true }); var parseForm = bodyParser.urlencoded({ extended: false }); router.get("/", csrfProtection, function(req, res, next) { var token = req.csrfToken(); res.json({ "token": token }); }); module.exports = router;
-
代码片段 前端jquery.ajax获得token并创建hidden input储存, 之后再次发起post请求
function getToken() { $.ajax({ url: config.serviceUrl + 'getToken', type: 'get', dataType: 'json', success: function(response) { if (response) { var tokenInput = $("<input>", { id: "_csrf", type: "hidden", value: response.token }); $("body").append(tokenInput); return true; } else { return false; } } }) } function deleteNews(id) { var data = { "id": id, "_csrf": $("#_csrf").val() } $.ajax({ url: config.serviceUrl + 'deleteAnything', type: 'post', data: data, dataType: 'json', success: function(response) { if (response.result === "success") { return true; } else { return false; } } }) }
