【Node.js从基础到高级运用】十八、Node.js的安全性加固_node web服务增加安全性的中间件-CSDN博客

本文链接：https://blog.csdn.net/Vip_wk/article/details/137050773

引言

在Web开发中，安全性是一个不可忽视的话题。Node.js作为一个流行的后端平台，同样需要关注各种潜在的安全威胁，并采取措施加以防御。本文将介绍如何在Node.js应用中防御常见的Web攻击，以及如何使用安全相关的中间件来加固安全性。

防御常见的Web攻击

防御XSS攻击

跨站脚本攻击（XSS）是一种常见的攻击方式，攻击者通过在页面插入恶意脚本，来盗取用户信息或者进行其他恶意操作。为了防御XSS攻击，我们需要对用户输入的内容进行转义处理。

const express = require('express');
const app = express();
//const bodyParser = require('body-parser'); // 引入body-parser模块用于解析请求体
//从Express 4.16.0版本开始，
//body-parser模块的功能已经被集成到了Express本身中，因此你可以不用单独安装body-parser，而是直接使用express.json()和express.urlencoded()中间件
app.use(express.json()); // 用于解析JSON格式的请求体
app.use(express.urlencoded({
   
    extended: true })); // 用于解析URL编码的请求体
app.post('/submit-comment', (req, res) => {
   
   
  // 获取用户输入的评论内容
  let comment = req.body.comment;
  // 对评论内容进行HTML转义，防止XSS攻击
  comment = escapeHtml(comment);
  console.log('提交的内容：'+comment)
  // 存储评论内容到数据库等操作...
  // ...

  res.send('评论已提交');
});

// HTML转义函数
function escapeHtml(text) {
   
   
  const map = {
   
   
    '&': '&amp;',
    '<': '&lt;',
    '>': '&gt;',
    '"': '&quot;',
    "'": '&#039;'
  };
  return text.replace(/[&<>"']/g, (m) => map[m]);
}

app.listen(3000, () => {
   
   
  console.log('Server is running on port 3000');
});

运行：
在这里插入图片描述

防御CSRF攻击

跨站请求伪造（CSRF）攻击是一种利用用户已登录的身份，在用户不知情的情况下进行恶意请求的攻击方式。为了防御CSRF攻击，我们可以使用CSRF令牌。

const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const app = express();
app.use(express.json()); // 用于解析JSON格式的请求体
app.use(express.urlencoded({
   
    extended: true })); // 用于解析URL编码的请求体
// 使用cookie-parser中间件来解析cookie
app.use(cookieParser());
// 设置CSRF保护
const csrfProtection = csrf({
   
    cookie: true });

app.get('/form', csrfProtection, (req, res) => {
   
   
  // 发送带有CSRF令牌的表单到客户端
  res.send(`<form action="/https/blog.csdn.net/submit-form" method="POST">