在我的nodejs服务器中防止xhr攻击

时间:2013-03-08 03:25:36

标签: node.js xmlhttprequest xss

我正在开发一个与客户端移动应用程序交互的nodejs服务器。我遇到了一些名为XSS和XHR的服务器攻击。我遇到了一个名为node-validator的模块,它对处理和验证输入很有用。我需要了解XSS和XHR攻击是否具有相同的效果,以及该模块是否对两者都有用。任何有关此问题的想法都会非常有用。

2 个答案:

答案 0 :(得分:2)

如果您使用的是expressjs / connect,则会出现“内置”csrf middleware in connect

答案 1 :(得分:1)

XSS攻击也称为跨站点脚本攻击。当攻击者利用未经过清理的输入字段将javascript注入应用程序时。一个常见的例子是,如果攻击者设法将javascript注入博客评论中。每当有人查看评论时,它就会(如果不正确地消毒)执行。可以阅读有关此类攻击的示例here

XHR攻击只是XSS攻击的扩展,注入的脚本将AJAX调用返回到域服务器。

实际上很容易防止这些类型的攻击。通过验证您的输入(剥离HTML标签)并转义特殊字符(如“,”,“等),您可以阻止这种情况。我肯定会建议使用外部库,因为您可能会错过自己的东西。

此外,这是一个类似的问题,可能对您有所帮助。 Sanitizing user input before adding it to the DOM in Javascript