Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF

如何添加cros

插件使用文档

import cors from "@fastify/cors";

fastify.register(cors, (instance) => {
  return (req, callback) => {
    const hostIp = getClientIp(req);
    if (/^127.0.0.1$/m.test(hostIp)) {
      callback('not Allow', {
        origin: false,
      });
    }
    callback(null, {
      origin: true,
    });
  };
});
fastify.register(AutoLoad, {
  dir: path.join(__dirname, "plugins"),
});

fastify.register(AutoLoad, {
  dir: path.join(__dirname, "routes"),
  options: { prefix: "/api" },
});

应用加固:helmet

  • fasttify的重要安全标头。

  • nodejs提高工程安全、效率相关的中间件

  • Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。

  • 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。

Helmet安全功能有:

  1. crossdomain是用来服务crossdomain.xml

  2. contentSecurityPolicy是设置Content Security Policy,防止XSS攻击。

  3. hidePoweredBy可以移除 X-Powered-By 头部

  4. hsts用于 HTTP Strict Transport Security

  5. ieNoOpen设置IE8+的 sets X-Download-Options

  6. noCache 失效客户端缓存

  7. noSniff能避免客户端进行MIME类型进行嗅探。

  8. frameguard阻止clickjacking

  9. xssFilter能够增加一些小的XSS保护功能。

使用

下载依赖

npm i @fastify/helmet

使用

import helmet from '@fastify/helmet'

fastify.register(helmet)
// or
fastify.register(helmet, { global: true })

Csurf/CSRF

  • CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
  • CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
  • Node.js 中的 Csurf 模块防止对应用程序的跨站点请求伪造(CSRF)攻击。通过使用这个模块,当浏览器从服务器呈现一个页面时,它会发送一个随机生成的字符串作为 CSRF 标记。因此,当执行开机自检请求时,它将随机发送 CSRF 令牌作为 cookie。对于每个请求,发送的令牌都是不同的,因为它们是随机生成的。

在express中我们会这样用它

下面代码中:

  • csrf 将作为生成和验证 CSRF cookie 的中间件。
  • 中间件将增加一个生成 cookies 的功能。
  • 该函数将通过隐藏的表单字段传递给请求。
  • 当用户发送请求时,这个创建的 cookie 将被验证。
  • 中间件填充 req.csrfToken()
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');

var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });

var app = express();
app.set('view engine','ejs')

app.use(cookieParser());

app.get('/form', csrfProtection, function (req, res) {
  // pass the csrfToken to the view
  res.render('login', { csrfToken: req.csrfToken() });
});

app.post('/process', parseForm,
      csrfProtection, function (req, res) {
  res.send('Successfully Validated!!');
});

app.listen(3000, (err) => {
   if (err) console.log(err);
   console.log('Server Running');
});

待继续补充

  • 今天就写到这里啦~
  • 小伙伴们,( ̄ω ̄( ̄ω ̄〃 ( ̄ω ̄〃)ゝ我们明天再见啦~~
  • 大家要天天开心哦

欢迎大家指出文章需要改正之处~
学无止境,合作共赢

在这里插入图片描述

欢迎路过的小哥哥小姐姐们提出更好的意见哇~~

posted @ 2023-09-14 01:26  糖~豆豆  阅读(103)  评论(0编辑  收藏  举报
Live2D