用户可以在我们的子网站上获取自己的子网站,以便www.example.com/subsite/gary成为特定的用户子网站。
然而,我担心单播/ unicode欺骗攻击的可能性,恶意用户使用不同的用户名创建一个帐户,但是其他人会看到相同的unicode字符,这样就可以传递一个链接声称当它实际上是其他人时要加油。
我看到的唯一看起来成熟的解决方案是UCAPI http://www.casaba.com/products/UCAPI/,但我不想使用它,我希望有一些适用于node.js的东西。 (如果需要,我宁愿自己实施)
有没有人可以用node.js检查这些同形/欺骗攻击?
答案 0 :(得分:0)
您可以尝试使用Node.js v0.12中提供的Unicode normalization with String.prototype.normalize,但我怀疑它会处理所有可能的攻击媒介。
使用UCAPI - 它是针对您的确切用例而制作的。
答案 1 :(得分:0)
等待足够长时间,有人会为您实施 - https://www.npmjs.com/package/homoglyph-search