浅谈nodejs - xss/csrf防御

前言

• 每种后端语言都有自己的XSS/CSRF防御机制， 通常是一些类库
  Node应用也一样

nodejs xss 防御

• xss.js 模块

  • NPM ----- 地址

  • 后端使用方式

    • 安装方式 :

npm install xss

后端用法 : 对于用户的输入进行过滤　＋　数据库取得数据进行过滤

• 举例 1：

let userInput = xss(req.body.userInput); 

• 前端使用方式

  • 安装方式 : 页面引入js文件, 下载地址 --- xss.js
  • 前端用法 : 对于用户的输入、调用服务取得的json 进行过滤
  • 代码片段 举例 1:

filterXSS('<script>alert("xss");</scr' + 'ipt>')；

• jQuery 及 基本dom操作

  • 在不确定后端数据是否安全的情况下， 构造属性或节点时一定注意把json中的数据通过jQuery转换为文本或文本节点
    • 方式 1 : document.createTextNode(yourDirtyString); 在给element的属性赋值时 可以使用
    • 方式 2 : $.val(yourDirtyString), val方法只会将传入的参数转换为string 文本， 安全
    • 方式 3 : $.("<input>",{ text : yourDirtyString, value : anything here }) ， 原理同上， 安全

nodejs csrf 防御

• csrf 模块

  • NPM ------ 地址

  • 安装方式 via npm

    npm install csurf
    

  • 使用方式

    • 第一步. 前端发起get请求（get页面）获得token, 服务端创建cookie和token，前端拿到token存起来 如可以放到form中的hidden input中，
      注意的是 在默认的情况下这input的id需要指定为_csrf 才能被验证通过。

      只要确保发起其他post请求时 把token带上

    • 第二步. 前端发起增删改查等post请求时， 带上token传过去， 服务端验证cookie和token， 若通过则处理请求， 否则默认返回403.

  • 代码片段 expressjs（routes/someroute.js）第二步 - 服务端csrf模块，检验cookie与token

      var cookieParser = require('cookie-parser');
      var bodyParser = require('body-parser');
      var csrf = require('csurf');
      var csrfProtection = csrf({ cookie: true })
      var parseForm = bodyParser.urlencoded({ extended: false });
    
     //从req.body(也就是parseForm)中检验_csrf字段的值 和服务端进行匹配
     router.post("/", parseForm, csrfProtection, function(req, res, next) {
     //todo
     }
    

  • 代码片段 expressjs (routes/getToken.js) 第一步：服务端csrf模块， 分配token

     var express = require('express');
     var router = express.Router();
     var cookieParser = require('cookie-parser');
     var bodyParser = require('body-parser');
     var csrf = require('csurf');
    
    
     /* csrf */
     var csrfProtection = csrf({ cookie: true });
     var parseForm = bodyParser.urlencoded({ extended: false });
    
     router.get("/", csrfProtection,  function(req, res, next) {
    
     var token = req.csrfToken();
       res.json({
       "token": token
       });
     });
     module.exports = router;
    

• 代码片段 前端jquery.ajax获得token并创建hidden input储存， 之后再次发起post请求

      function getToken() {
        $.ajax({
          url: config.serviceUrl + 'getToken',
          type: 'get',
          dataType: 'json',
          success: function(response) {
              if (response) {
                  var tokenInput = $("<input>", {
                      id: "_csrf",
                      type: "hidden",
                      value: response.token
                  });
                  $("body").append(tokenInput);
                  return true;
              } else {
                  return false;
              }
          }
      })
  }
  
  function deleteNews(id) {
      var data = {
          "id": id,
          "_csrf": $("#_csrf").val()
      }
      $.ajax({
          url: config.serviceUrl + 'deleteAnything',
          type: 'post',
          data: data,
          dataType: 'json',
          success: function(response) {
              if (response.result === "success") {
                  return true;
              } else {
                  return false;
              }
          }
      })
  }
  
  
  

TO BE CONTINUED ....