Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF
如何添加cros
插件使用文档
import cors from "@fastify/cors";
fastify.register(cors, (instance) => {
return (req, callback) => {
const hostIp = getClientIp(req);
if (/^127.0.0.1$/m.test(hostIp)) {
callback('not Allow', {
origin: false,
});
}
callback(null, {
origin: true,
});
};
});
fastify.register(AutoLoad, {
dir: path.join(__dirname, "plugins"),
});
fastify.register(AutoLoad, {
dir: path.join(__dirname, "routes"),
options: { prefix: "/api" },
});
应用加固:helmet
-
fasttify的重要安全标头。
-
nodejs提高工程安全、效率相关的中间件
-
Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。
-
一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。
Helmet安全功能有:
-
crossdomain是用来服务crossdomain.xml
-
contentSecurityPolicy是设置Content Security Policy,防止XSS攻击。
-
hidePoweredBy可以移除 X-Powered-By 头部
-
hsts用于 HTTP Strict Transport Security
-
ieNoOpen设置IE8+的 sets X-Download-Options
-
noCache 失效客户端缓存
-
noSniff能避免客户端进行MIME类型进行嗅探。
-
frameguard阻止clickjacking
-
xssFilter能够增加一些小的XSS保护功能。
下载依赖
npm i @fastify/helmet
使用
import helmet from '@fastify/helmet'
fastify.register(helmet)
// or
fastify.register(helmet, { global: true })
Csurf/CSRF
- CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
- CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
- Node.js 中的 Csurf 模块防止对应用程序的跨站点请求伪造(CSRF)攻击。通过使用这个模块,当浏览器从服务器呈现一个页面时,它会发送一个随机生成的字符串作为 CSRF 标记。因此,当执行开机自检请求时,它将随机发送 CSRF 令牌作为 cookie。对于每个请求,发送的令牌都是不同的,因为它们是随机生成的。
在express中我们会这样用它
下面代码中:
- csrf 将作为生成和验证 CSRF cookie 的中间件。
- 中间件将增加一个生成 cookies 的功能。
- 该函数将通过隐藏的表单字段传递给请求。
- 当用户发送请求时,这个创建的 cookie 将被验证。
- 中间件填充 req.csrfToken()
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');
var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });
var app = express();
app.set('view engine','ejs')
app.use(cookieParser());
app.get('/form', csrfProtection, function (req, res) {
// pass the csrfToken to the view
res.render('login', { csrfToken: req.csrfToken() });
});
app.post('/process', parseForm,
csrfProtection, function (req, res) {
res.send('Successfully Validated!!');
});
app.listen(3000, (err) => {
if (err) console.log(err);
console.log('Server Running');
});
待继续补充
- 今天就写到这里啦~
- 小伙伴们,( ̄ω ̄( ̄ω ̄〃 ( ̄ω ̄〃)ゝ我们明天再见啦~~
- 大家要天天开心哦
欢迎大家指出文章需要改正之处~
学无止境,合作共赢
