Websockets,socket.io,nodejs和安全性

时间:2011-06-15 18:34:07

标签: security html5 node.js websocket socket.io

我正在开发一个实时分析应用程序,并使用websockets(通过socket.io库)和nodejs。将不会通过websockets发送“敏感”数据(如名称,地址等)。它仅用于跟踪访问次数并跟踪总访问者数(以及前10个访问量最大的网址中的访问者数量)。

我应该注意哪些安全问题?我打开自己:

  1. DoS攻击?
  2. XSS攻击?
  3. 可用于访问网络服务器/网络服务器LAN的其他安全漏洞?
  4. 我在这里没有提到的任何其他内容?
  5. 谢谢!

1 个答案:

答案 0 :(得分:9)

  

1. DoS attacks?

你正在打击自己的DoS攻击,如果它们正确完成,你几乎无法对付这种攻击。

  

2. XSS attacks?

如果您不进行过滤,则您很容易受到XSS攻击。我相信你可以使用类似this的东西来保护自己:

/**
 * Escape the given string of `html`.
 *
 * @param {String} html
 * @return {String}
 * @api private
 */

function escape(html){
  return String(html)
    .replace(/&(?!\w+;)/g, '&')
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;');
}
3. Additional security holes that could be used to gain access to the
webserver/webserver's LAN?

您应该使用防火墙保护自己免受局域网攻击吗?

  

4. Anything else I didn't mention here?

  • 如果您要发送敏感信息,请至少通过SSL发送。您还应该提出某种身份验证方案......
  • 也许你可能容易受到会话固定的影响?