直接浏览资源

时间:2012-06-05 09:59:30

标签: node.js

是否有可能在节点js应用程序中“直接浏览资源”攻击?如何防止它?

编辑:我使用快递框架

1 个答案:

答案 0 :(得分:0)

Node.js http服务器不提供任何静态内容,只调用您的代码。如果有任何攻击的可能性,它将在您的代码中,而不是在Node.js核心或http模块中。

关于您的编辑:Express提供static中间件,如果将其配置为从包含敏感资源的目录中提供静态文件,则可能会发生直接浏览攻击。如果您为静态内容保留一个专用目录,所有这些目录都可以直接浏览,并且该目录下没有敏感内容,如果您使用Express'static中间件提供服务,那么您将是安全的。