那些遇到过的问题

node.js中的Mongodb安全性

geo*_*per 10 database security code-injection mongodb node.js

比如说MySQL数据库存在已知的安全问题.这如何适用于NoSQL数据库?例如注射,xss等.使用NoSQL数据库时你必须采取哪些安全措施?特别是关于MongoDB(使用node-mongodb-native)和Node.js(使用Express)

如果是这样,是否有任何Node/Express模块​​可以帮助防止这种情况发生?

om-*_*nom 11

对于NodeJS,MongoDB(以及其他一些大量使用javascript的NoSQL数据库)存在特定问题:serverside javascript注入.看看这里这里(PDF)了解详细信息.它更像是SQL注入而不是XSS.

不久之后,当你期待JSON时,攻击者会将javascript发送到你的nodejs或mongodb.所以理论上坏人可以降低你的服务(DOS),访问你的数据甚至文件系统.

要防止此类攻击,您必须:

  1. 避免通过将脚本与用户输入连接来创建"ad-hoc"JavaScript命令.
  2. 使用正则表达式验证SSJS命令中使用的用户输入.
  3. 避免使用JavaScript eval命令.特别是,在解析JSON输入时,请使用更安全的替代方法,例如JSON.parse.

归档时间:

查看次数:

3345 次

最近记录:

8 年,4 月 前
相关归档
Node_modules 中带有 ES 模块的 Jest Typescript 错误 - 必须使用 import 来加载 ES 模块: 41
Haskell有ORM工具吗? 35
在heroku生产站点上清除rails app数据库 26
记录节点的stdout和stderr 25
在Javascript中保护OAuth 20
每个表上有一个日志表与日志列 6
有多少B和C有A? 6
Clickhouse数据导入 6
没有找到合适的服务器(`serverSelectionTryOnce` 集):[连接被拒绝调用 ismaster on '127 .0.0.1:27017'] 6
JSF 2.0 的安全性(框架?) 3
难疑归档
如何从Bash脚本检查程序是否存在? 2032
如何避免JSP文件中的Java代码? 1649
如何将NodeJS和NPM更新到下一个版本? 1573
JavaScript发布请求,如表单提交 1465
vim"用sudo写"技巧如何工作? 1347
在Android上旋转活动重启 1341
检查Ruby中的数组中是否存在值 1258
将图像加载到Bitmap对象时出现奇怪的内存不足问题 1252
在Node.js中读取环境变量 1240
从JS数组中删除重复值 1225