如何做好nodejs服务在服务器上的安全防护?
Web服务器安全问题仍然是IT部门最关心的问题之一,因为频发的网络攻击已被证明。由于存在托管敏感数据,Web服务器是一个组织中最容易被黑客针对攻击的地方。因此,本篇文章结合nodejs服务对如何提高Web服务器安全性给出了下面几条提示。
一、合理运用helmet
Helmet是一个能够帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。使用Helmet能帮助你的应用避免对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁。
安装Helmet:
npm install helmet --save;在Express使用Helmet:
const express = require('express')
const helmet = require('helmet')
const app = express()
app.use(helmet())helmet是14个较小的中间件函数的集合,这些函数设置http响应头;各模块具体如下:
二、避免使用字符串拼接的sql查询语句
SQL注入攻击是黑客对数据库进行攻击的常用手段之一,它通过用户输入注入部分或完整的SQL查询,由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入;
下面是一些例子:
select title, author from books where id=$id如果$id来源于用户的输入,如果用户输入了2 or 1=1会怎么样?查询语句会变成这样:
select title, author from books where id=2 or 1=1就可以直接随心所欲的查询所有的数据。
如何避免sql攻击:
1、参数检查:验证用户的输入再将其并入SQL语句
简单来说就是见用户的输入进行检查,避免用户输入中含有sql语句,是一种非常常见、高效的方法,但不是绝对安全的,假如你的验证做的不够彻底,那么就可能留出被攻击的窗口,不过因为其简便性,也是很多开发者选择的防范方法。
2、将用户输入作为参数传给处理程序处理成单纯的字符串。
像nodejs的mysql模块中,为了防止SQL注入,可以传入参数进行编码。参数编码方法有:mysql.escape()/connection.escape()/pool.escape(),这三个方法可以在你需要的时候调用:
var userId = 'some user provided value';
var sql = 'SELECT * FROM users WHERE id = ' + connection.escape(userId);
connection.query(sql, function(err, results) {// ...
});同样的,也可以使用?做为查询参数占位符,这与查询值编码效果是一样的:
connection.query('SELECT * FROM users WHERE id = ?', [userId], function(err, results) {// ...
});在使用查询参数占位符时,在其内部自动调用connection.escape()方法对传入参数进行编码。
三、预防CSRF
CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
CSRF 的防御,可以从以下两个方面入手:
1、合理使用Token原理(WEB令牌),避免利用session, 避免攻击者利用csrf进行攻击
2、在一些重要的地方加入一些强验证机制,例如:短信验证、邮箱验证等等。
四、部署具备应用层威胁防御能力的安全产品
建议使用提供web应用防火墙的云服务器:结合人工智能机器学习技术,通过灵活的部署方式,持续的机器学习,构建积极防御安全模型( AI SecurityTM )。能识别信任流量与不可信流量,实时拦截包括0-day和已知攻击在内的不可信流量,保护关键业务的Web应用。如果业务量到达了一定的高度,可以考虑一下类似的安全防护产品,能够有效帮助你避免很多一些攻击。
如何做好nodejs服务在服务器上的安全防护?相关推荐
- 通过python建立一个web服务查看服务器上的文本、图片、视频等文件
通过python建立一个web服务查看服务器上的文本.图片.视频等文件 文章目录: 1 在服务器端开启一个服务 2 在本地浏览器中输入服务器的ip地址 1 在服务器端开启一个服务 python -m ...
- 网站已做好,如何放到服务器上,将做好的网站放到云服务器上
将做好的网站放到云服务器上 内容精选 换一换 将NFS文件系统挂载到Windows IIS服务器时,报错路径格式不支持,挂载失败.IIS Web服务器的物理路径错误.根据可能原因进行故障排查.如图1为 ...
- 虚拟化安全防护系统部署在安全服务器上,虚拟化安全防护-安天 智者安天下
获取安天智甲虚拟化安全防护系统 产品销售咨询:400-840-9234 邮箱:support@antiy.cn 安装安天智甲虚拟化安全防护系统管理中心 方法一:在VMware vSphere Web ...
- 服务器显示服务控制台已关闭程序,服务器上控制台窗口主机进程
服务器上控制台窗口主机进程 内容精选 换一换 当云服务器网络异常.防火墙未放行本地远程桌面端口.云服务器CPU负载过高等场景均可能导致云服务器无法正常登录.当您的云服务器无法远程登录时,我们建议您首先 ...
- 部署nodejs项目到服务器的一些总结
安装nodejs 首先在服务器上安装nodejs并配置环境,这个可以参考官方的文档,就不细说了 拷贝项目到服务器上 这里其实可以通过git直接clone在服务器上.当然正常发版一般是将代码打包上传到服 ...
- 项目在云服务器上的绝对路径,云服务器上的绝对路径
云服务器上的绝对路径 内容精选 换一换 部署提供可视化.一键式部署服务,支持并行部署和流水线无缝集成,实现部署环境标准化和部署过程自动化.本节通过以下四步介绍如何使用部署服务将归档在软件发布库的软件包 ...
- 可以把管理系统软件放到云服务器,erp软件可以放在云服务器上吗
erp软件可以放在云服务器上吗 内容精选 换一换 华为云帮助中心,为用户提供产品简介.价格说明.购买指南.用户指南.API参考.最佳实践.常见问题.视频帮助等技术文档,帮助您快速上手使用华为云服务. ...
- 服务器查看文件命令大全,服务器上查看文件命令
服务器上查看文件命令 内容精选 换一换 cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行.Agent: St ...
- 恢复服务器上的安装器信息,恢复装有 SQL Server 的规划服务器
从以前的备份中提取所有规划数据库(服务数据库.系统数据库.所有应用数据库)和 Microsoft Windows SharePoint Services 数据库(如果使用 Windows ShareP ...
最新文章
- 如何在同一系统里同时启动多个Tomcat
- 深度学习系列作业1----by 吴恩达
- 浅析IPDCC的地理信息识别和服务
- python-语言播报
- javaweb----三层架构
- 当身为老师的爸爸上课时......
- APP 文档服务器,app服务器
- 字符串操作的12个小技巧!
- CoreAnimation-CAKeyframeAnimation
- java实现兵乓球比赛_C语言实现乒乓球比赛
- 数组作业:例题5.1.一个10个元素一维数组的赋值与遍历
- 过来人给Java初学者的建议!
- 概率论 方差公式_考研冲刺篇|数学概率论
- html实现画板的基本操作,JavaScript操作Canvas实现画板实例分析
- ds18b20负温度c语言,温度显示异常DS18B20
- RobotStudio的基本布局方法,模型加载,工件坐标系的创建,手动操作机器人示教,以及模拟仿真机器人运动轨迹。
- 美团点评数据平台融合实践
- (ACWing yxc讲解基础算法课程笔记)基础算法 整数二分
- Java类有个星号标记_Java中import包带*(星号)问题
- IOT开发的学习-linux#5 gcc编译生成一个c语言实行文件,用sh调用实行