如何使用node.js检测单应文本,unicode欺骗

时间:2015-05-27 18:33:12

标签: node.js unicode punycode

用户可以在我们的子网站上获取自己的子网站,以便www.example.com/subsite/gary成为特定的用户子网站。

然而,我担心单播/ unicode欺骗攻击的可能性,恶意用户使用不同的用户名创建一个帐户,但是其他人会看到相同的unicode字符,这样就可以传递一个链接声称当它实际上是其他人时要加油。

我看到的唯一看起来成熟的解决方案是UCAPI http://www.casaba.com/products/UCAPI/,但我不想使用它,我希望有一些适用于node.js的东西。 (如果需要,我宁愿自己实施)

有没有人可以用node.js检查这些同形/欺骗攻击?

2 个答案:

答案 0 :(得分:0)

您可以尝试使用Node.js v0.12中提供的Unicode normalization with String.prototype.normalize,但我怀疑它会处理所有可能的攻击媒介。

使用UCAPI - 它是针对您的确切用例而制作的。

答案 1 :(得分:0)

等待足够长时间,有人会为您实施 - https://www.npmjs.com/package/homoglyph-search