是否有任何现有技术或npm包可以阻止来自NodeJS服务器的所有传出请求,只允许响应传入请求?这可以防止在安全审核中遗漏的深度依赖中的电话家庭类型攻击。
答案 0 :(得分:0)
防火墙。
这才是真正唯一的方法。但请记住,没有什么能阻止某些代码接受连接到它的客户端的命令。
答案 1 :(得分:0)
看看
第一个链接显示绑定到特定用户的防火墙规则。简单易用。为什么要使用另一个您不想信任的具有深度依赖关系的npm模块; - )
答案 2 :(得分:0)
如果您正在寻找纯node.js解决方案,您可以做类似的事情。
使用像mockery这样的模块,你可以限制你的javascript模块可以对node.js核心做什么调用。例如,如果覆盖require('net').connect,则恶意代码将更难以执行某些操作。
我不知道任何现有的解决方案,但这绝对是可能的,我真的很想看到一个。
尽管如此,这个问题的通用方法完全在node.js范围之外: