小白对跨域攻击还不太理解,网上资料很乱,一会儿xxs, 一会儿 crsf ,搞不明白; sql注入比较好理解,我用sequelize操作mysql, 自己测试 query方法是可以注入的,如下: var a = ‘csb" or age="30’; sequelize.query(‘select * from cc1 where username="’ + a + ‘"’) 其他orm的 find,create, update 没试出来,好像不怕注入,不知道到底有没有问题。
有大神讲讲这两种攻击,nodejs服务器后台 怎么处理 来防止?
是CSRF(Cross-site request forgery) 不是你写的那个! 跨域不用担心.主流浏览器都会帮你做防御的. 问题不大,主要是你自己别给其他域的权限即可.非必要的话,以最小权限原则. xss主要就是过滤输入输出.如果业务很多,还是找人审计代码吧.或者用比较成熟的模块.CSRF的话,1,验证来源 2加随机token之类的. sqli主要还是过滤输入的地方.过滤/转义关键字比如select,and,or等等(有专门的防注入模块).觉得怕麻烦的话.用那些云主机的防御功能.再加个cdn基本就没事了.(对于一般的反射型跨站也适用) 总之一切输入输出都是有害的,能转义就转义,能过滤就过滤,自己搞不定就找厂商服务商,现在安全产品一堆!
@chengshubei 前后台要一起防,不过现在好像没听过比较成熟的模块,,因为一直是易守难攻啊,,不清楚你的业务具体是怎样的,需不需要太高的安全防护级别,实在有需求的话就像二楼说的那样吧,,找成熟的安全厂商帮你解决
@chengshubei 防不了的 /**/ %20 \t () 等等 这些都可以代替空格 比如 : SELECT(name),(population)FROM[cia]在sqlserver下正常执行,没出现空格.
