我正在开发一个将与客户端移动应用程序交互的nodejs服务器。我在服务器上遇到了一些称为XSS和XHR的攻击。我遇到了一个名为node-validator的模块,它对于处理和验证输入很有用。我需要了解 XSS 和 XHR 攻击是否具有相同的效果,以及该模块是否对两者都有用。任何与此相关的想法都会非常有帮助。
XSS 攻击也称为跨站脚本攻击。这是指攻击者利用未经净化的输入字段将 JavaScript 注入应用程序。一个常见的例子是,攻击者设法将 JavaScript 注入博客文章评论中。然后(如果清理不当)每次有人查看评论时都会执行。可以阅读此类攻击的示例here http://allfacebook.com/hacker-makes-facebook-look-like-myspace-gets-hired_b33405.
XHR 攻击只是 XSS 攻击的扩展,其中注入的脚本使 AJAX 调用回域服务器。
实际上,防止此类攻击相当容易。通过验证您的输入(删除 HTML 标签)并转义“、'、` 等特殊字符,您可以防止这种情况发生。我绝对建议您使用外部库,因为您可能会自己错过一些东西。
另外,这是一个类似的问题,可能会对您有所帮助。在将用户输入添加到 Javascript 中的 DOM 之前对其进行清理 https://stackoverflow.com/questions/2794137/sanitizing-user-input-before-adding-it-to-the-dom-in-javascript
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)