那些遇到过的问题

在Heroku中完全禁用HTTP

sil*_*hil 7 security ssl heroku node.js express

我们有一个在Heroku中运行的node.js express应用程序.它处理身份验证,必须是高度安全的.

当我们收到HTTP请求时,我们强制重定向到HTTPS.但这似乎还不够.使用像sslstrip这样的工具,我们可以通过HTTP进行POST.

目前唯一的解决方案似乎是在Heroku上完全禁用HTTP.

怎么做?还有其他建议吗?

Rya*_*yan 7

根据OWASP,您不应该从HTTP重定向到HTTPS.有关详细信息,请参阅https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet#Rule_- REMOVED -_Do_Not_Perform_Redirects_from_Non-TLS_Page_to_TLS_Login_Page.

我认为更好的解决方案是拒绝请求,并提供让用户知道原因的消息.您应该能够在中间件功能中执行此操作.您返回的实际状态代码值得商榷,但这样的事情应该有效:

app.use(function(req, res, next) {
    if(req.protocol !== 'https') {
        return res.status(403).send({message: 'SSL required'});
    }
    // allow the request to continue
    next();
});
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2758 次

最近记录:

8 年 前
相关归档
express req.session对象是如何保持的? 17
没有互联网,猫鼬无法连接 15
有没有办法从猫鼬模型实例中获取模型名称? 14
秘密可以隐藏在提供访问凭证的"安全"java类中吗? 8
什么是推荐的Bcrypt C实现? 8
如何在 javascript 中获取静态公共文件夹中的文件列表? 5
CL+SSL SSL 错误:禁用不安全的旧版重新协商。如何绕过或解决? 5
Asp.net:System.Security.SecurityException 4
安装Express for Node.js时出错 3
Chrome浏览器显示SSL在我的SSL页面上划掉了? 2
难疑归档
REST中的PUT与POST 5227
如何检测元素外部的单击? 2367
在shell中,"2>&1"是什么意思? 2121
如何在jQuery中选择具有多个类的元素? 1985
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
如何删除导出的环境变量? 1439
Git push需要用户名和密码 1327
SOAP与REST(差异) 1206
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076
测量Python中经过的时间? 1031