那些遇到过的问题

在now.js/socket.io聊天中增强安全性

Lan*_*nbo 5 node.js socket.io nowjs-sockets

nowjssocket.io聊天是您可以使用它们执行的最简单的练习之一.我想使用nowjs的Group对象实现多房间聊天(具有非固定数量的房间和登录用户).

我还没有直接使用过WebSockets,而且我想知道那里有什么安全问题.例如,我多久检查一次身份验证?

攻击者是否有可能"劫持"socket.io连接,我该如何防止它?

还有哪些其他安全陷阱需要关注?

Kat*_*ato 12

中间人肯定是一个考虑因素.但最大的安全问题是XSS.

这个有用的SO线程表明:

  1. socket.io 0.8内置了引用者验证
  2. 如果聊天来自已知来源,则阻止防火墙处的多余连接

这篇内容丰富的文章表明:

  1. 不信任客户
  2. 使用SSL加密
  3. 检查原点
  4. 防止XSS(清理客户端输入!)
  5. 不要以为它是一个浏览器

这个有用的线程说在socket.io.connect(...)上设置secure:true

我建议采取所有这些建议:)

归档时间:

查看次数:

2748 次

最近记录:

9 年,11 月 前
node.js,带SSL的socket.io 152
Socket.io安全问题 10
更多相关链接
相关归档
npm:何时使用 `--force` 和 `--legacy-peer-deps` 43
如何宣传AWS JavaScript SDK? 41
与express-session和cookie-session有什么区别? 39
Express.js 中的“bodyParser.urlencoded({extended: true }))”和“bodyParser.json()”是什么意思? 37
npm安装如何工作 30
mongodb近似字符串匹配 23
为什么Grunt会失败? 12
期望断言类型错误 - > expect(...).toExist不是函数 11
节点不在Windows上的Ubuntu上运行Bash 10
如何从进入睡眠状态的WebSocket客户端计算机或应用程序进入后台恢复(iPad上的Safari) 6
难疑归档
避免!= null语句 3904
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
将现有的,未提交的工作移动到Git中的新分支 2982
jQuery是否存在"存在"功能? 2669
在终端上打印颜色? 1929
接口和抽象类之间有什么区别? 1705
在PostgreSQL中显示表格 1703
使用Git从先前的提交中分支 1658
如何使用Python连接MySQL数据库? 1117
git:撤消所有工作目录更改,包括新文件 1108