节点/快递安全

Question

我正在开发我的第一个节点应用程序。现在它已准备好部署，我希望保护我的应用程序。所以我使用这些库来保护它。

import mongoSanitize from 'express-mongo-sanitize';
import helmet from 'helmet';
import xss from 'xss-clean';
import hpp from 'hpp';
import cors from 'cors';
import rateLimit from 'express-rate-limit';

我想知道的是，我在这里复制东西吗？我必须使用所有这些库吗？这里的库是否做同样的事情，以便我可以通过从应用程序中删除不必要的中间件来删除它们以提高应用程序的性能？

Answer 1

您不能只是堆积一些“安全”库并神奇地变得“安全”。你不认为如果这可能的话，所有这些包都会自动应用吗？

让我们看看这些模块实际上做了什么......

express-mongo-sanitize

此模块从 req.body、req.query 或 req.params 搜索以 $ 符号开头或包含 . 的对象中的任何键。然后它可以：

• 从对象中完全删除这些键和相关数据，或者
• 用另一个允许的字符替换禁止的字符。

这（可以说）是一个非常糟糕的主意。如果您首先正确地转义用于查询的内容，则不需要存在这样的清理功能。然后，您不必担心像这样的模块会完全破坏您的数据结构。此外，如果您确实依赖于这种库，那么您可以确定会有一些解决方法，因为它没有解决根本问题......混合数据上下文和命令很危险且容易出错。

头盔

Helmet 是 14 个较小的中间件函数的集合，用于设置 HTTP 响应标头。

这个包有很多东西，从 HSTS 到禁用缓存。它们都不是某种安全灵丹妙药，正如此软件包的作者在自述文件的最顶部警告的那样：

这不是灵丹妙药，但它可以提供帮助！

您应该了解所有这些标头的实际作用，以便使用正确的标头。此外，您需要在 Web 服务器（例如 Nginx）上应用其中的大部分内容，而不是在应用程序中处理它。

xss-清理

这将清理 req.body、req.query 和 req.params 中的所有数据。如果您不想用作中间件，也可以直接访问 API。

没有什么比 NPM 包更能说明“安全性”了，它具有近乎零的文档，并且 4 年未触及。不过，这确实是一个糟糕的想法。只有在将数据插入 HTML 时，您才应该为 HTML 的上下文转义数据。如果你过早地这样做，你只是在破坏你的数据。对此的误解实际上可能会导致您未来出现安全问题，更不用说应用程序损坏了。 （另见：The holy grail of cleaning input and output in php?）

hpp

Express 中间件防御 HTTP 参数污染攻击

该模块接受多个查询字符串变量，并防止它们作为数组返回。如果这是您想要的，这很好，但是在查询字符串中有多个相同的键是有意的，并且您的应用程序可以使用有据可查的行为。如果这是一个问题，您应该真正修复您的应用程序，而不是依赖此模块来破坏标准行为。

cors

正如@jfriend00 所指出的，CORS 库可帮助您添加适当的响应标头以启用对数据的跨域访问。这可能是安全且适当的，但您可能不想默认启用。

快递费率限制

Express 的基本速率限制中间件。用于限制对公共 API 和/或端点的重复请求，例如密码重置。

如果你想限制速率，这个可以很有用。我建议在 Web 服务器级别执行此操作，而不是在您的应用程序中弄乱它。 Nginx 和类似的有高效和快速的模块/配置，它们将能够比将其构建到您构建的每个 Node.js 应用程序中更好地处理这个问题。

TL;DR;

了解您要保护的是什么，否则无论您安装什么模块，您都注定会不安全。安全性不是您安装的某个补丁。