那些遇到过的问题

我如何保护Socket.IO?

Ian*_*Ian 31 javascript security node.js socket.io

我已经和Socket.IO一起工作了几天,这既令人兴奋又令人沮丧.缺乏当前的文档/教程使学习变得非常困难.我终于设法创建了一个基本的聊天系统,但有一个明显的问题.我该如何保护它?

是什么阻止恶意用户复制(或编辑)我的代码并连接到我的服务器?我可以从我的PHP脚本中获取用户名并将其提交给Socket.IO,这样我就可以将它们识别为该用户(当然PHP具有安全性),但是什么阻止某人提交未注册的用户名?

如何确保提交的事件是真实的并且没有被篡改?

我的基本socket.io聊天参考.

服务器:

var io = require('socket.io').listen(8080);
var connectCounter = 0;
io.sockets.on('connection', function (socket) {
connectCounter++;
 console.log('People online: ', connectCounter);

socket.on('set username', function(username) {
socket.set('username', username, function() {
console.log('Connect', username);

    });
});
socket.on('emit_msg', function (msg) {
    // Get the variable 'username'

socket.get('username', function (err, username) {
      console.log('Chat message by', username);
      io.sockets.volatile.emit( 'broadcast_msg' , username + ': ' + msg );
    });

  });

socket.on('disconnect', function() { connectCounter--; });
});
Run Code Online (Sandbox Code Playgroud)

客户:

    <?php session_start() ?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8" />
    <title>untitled</title>
</head>
<body>
<input id='message' type='text'>
<div id="content"></div>
<script src="http://localhost:8080/socket.io/socket.io.js"></script>
<script src="http://code.jquery.com/jquery-latest.js"></script>

<script>
  var socket = io.connect('http://localhost:8080');
$.ajax({
type: 'GET',
  url: 'https://mysite.com/execs/login.php?login_check=true',
  dataType: 'json',
   success: function(data) {
var username = data.username;
socket.emit('set username', username, function (data){
});

}
});

  socket.on('broadcast_msg', function (data) {
        console.log('Get broadcasted msg:', data);
        var msg = '<li>' + data + '</li>';
        $('#content').append(msg);
      });


$('#message').keydown(function(e) {
if(e.keyCode == 13) {
e.stopPropagation();
          var txt = $(this).val();
          $(this).val('');
          socket.emit('emit_msg', txt, function (data){
            console.log('Emit Broadcast msg', data);
          });
}
});
</script>
</body>
</html>
Run Code Online (Sandbox Code Playgroud)

除了完全没有安全性外,这一切都很有用.

Sno*_*ind 8

如果您可以在节点服务器上安装Redis等键值存储,则可以使用像Predis这样的Redis客户端从php服务器远程访问它.您需要做的就是在php服务器中发生新的登录/注销时更新节点服务器上的远程会话存储.

查看此帖子了解详细信息:为socket.io/nodejs验证用户

归档时间:

查看次数:

29692 次

最近记录:

11 年,7 月 前
为socket.io/nodejs验证用户 40
更多相关链接
相关归档
如何在NPM安装期间使用不同版本的python? 210
我是否需要NodeJS中的依赖注入,或者如何处理...? 208
AWS Lambda错误:"找不到模块'/ var/task/index'" 86
Javascript使用哈希值重新加载页面 71
使用单引号将字符串解析为JSON? 54
如何倒计时约会 49
如何在没有Node服务器的情况下运行AngularJS2应用程序 29
将数组传递给JSON对象以进行Jade渲染 15
Javascript异步函数的开销是多少? 10
为数据库分离读写用户是一种很好的安全措施吗? 6
难疑归档
撤消git rebase 2965
如何克隆特定的Git分支? 2804
显式关键字是什么意思? 2753
如何通过引用传递变量? 2480
忽略已提交到Git存储库的文件 2429
什么是尾递归? 1602
如何在Ruby on Rails迁移中重命名数据库列? 1419
在现代Python中声明自定义异常的正确方法? 1176
如何查找Python中是否存在目录 1048
如何检查对象是否在JavaScript中有密钥? 1047