我正在开发一个实时分析应用程序,并使用websockets(通过socket.io库)和nodejs。将不会通过websockets发送“敏感”数据(如名称,地址等)。它仅用于跟踪访问次数并跟踪总访问者数(以及前10个访问量最大的网址中的访问者数量)。
我应该注意哪些安全问题?我打开自己:
谢谢!
答案 0 :(得分:9)
1. DoS attacks?
你正在打击自己的DoS攻击,如果它们正确完成,你几乎无法对付这种攻击。
2. XSS attacks?
如果您不进行过滤,则您很容易受到XSS攻击。我相信你可以使用类似this的东西来保护自己:
/**
* Escape the given string of `html`.
*
* @param {String} html
* @return {String}
* @api private
*/
function escape(html){
return String(html)
.replace(/&(?!\w+;)/g, '&')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/"/g, '"');
}
3. Additional security holes that could be used to gain access to the webserver/webserver's LAN?
您应该使用防火墙保护自己免受局域网攻击吗?
4. Anything else I didn't mention here?