Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF

2023-10-11 19:59

本文主要是介绍Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

如何添加cros

插件使用文档

import cors from "@fastify/cors";fastify.register(cors, (instance) => {return (req, callback) => {const hostIp = getClientIp(req);if (/^127.0.0.1$/m.test(hostIp)) {callback('not Allow', {origin: false,});}callback(null, {origin: true,});};
});
fastify.register(AutoLoad, {dir: path.join(__dirname, "plugins"),
});fastify.register(AutoLoad, {dir: path.join(__dirname, "routes"),options: { prefix: "/api" },
});

应用加固:helmet

  • fasttify的重要安全标头。

  • nodejs提高工程安全、效率相关的中间件

  • Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。

  • 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。

Helmet安全功能有:

  1. crossdomain是用来服务crossdomain.xml

  2. contentSecurityPolicy是设置Content Security Policy,防止XSS攻击。

  3. hidePoweredBy可以移除 X-Powered-By 头部

  4. hsts用于 HTTP Strict Transport Security

  5. ieNoOpen设置IE8+的 sets X-Download-Options

  6. noCache 失效客户端缓存

  7. noSniff能避免客户端进行MIME类型进行嗅探。

  8. frameguard阻止clickjacking

  9. xssFilter能够增加一些小的XSS保护功能。

下载依赖

npm i @fastify/helmet
使用
import helmet from '@fastify/helmet'fastify.register(helmet)
// or
fastify.register(helmet, { global: true })

Csurf/CSRF

  • CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
  • CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
  • Node.js 中的 Csurf 模块防止对应用程序的跨站点请求伪造(CSRF)攻击。通过使用这个模块,当浏览器从服务器呈现一个页面时,它会发送一个随机生成的字符串作为 CSRF 标记。因此,当执行开机自检请求时,它将随机发送 CSRF 令牌作为 cookie。对于每个请求,发送的令牌都是不同的,因为它们是随机生成的。

在express中我们会这样用它

下面代码中:

  • csrf 将作为生成和验证 CSRF cookie 的中间件。
  • 中间件将增加一个生成 cookies 的功能。
  • 该函数将通过隐藏的表单字段传递给请求。
  • 当用户发送请求时,这个创建的 cookie 将被验证。
  • 中间件填充 req.csrfToken()
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });var app = express();
app.set('view engine','ejs')app.use(cookieParser());app.get('/form', csrfProtection, function (req, res) {// pass the csrfToken to the viewres.render('login', { csrfToken: req.csrfToken() });
});app.post('/process', parseForm,csrfProtection, function (req, res) {res.send('Successfully Validated!!');
});app.listen(3000, (err) => {if (err) console.log(err);console.log('Server Running');
});

待继续补充

  • 今天就写到这里啦~
  • 小伙伴们,( ̄ω ̄( ̄ω ̄〃 ( ̄ω ̄〃)ゝ我们明天再见啦~~
  • 大家要天天开心哦

欢迎大家指出文章需要改正之处~
学无止境,合作共赢

在这里插入图片描述

欢迎路过的小哥哥小姐姐们提出更好的意见哇~~

这篇关于Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/190483

相关文章

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

C 语言中enum枚举的定义和使用小结

《C语言中enum枚举的定义和使用小结》在C语言里,enum(枚举)是一种用户自定义的数据类型,它能够让你创建一组具名的整数常量,下面我会从定义、使用、特性等方面详细介绍enum,感兴趣的朋友一起看... 目录1、引言2、基本定义3、定义枚举变量4、自定义枚举常量的值5、枚举与switch语句结合使用6、枚

使用Python从PPT文档中提取图片和图片信息(如坐标、宽度和高度等)

《使用Python从PPT文档中提取图片和图片信息(如坐标、宽度和高度等)》PPT是一种高效的信息展示工具,广泛应用于教育、商务和设计等多个领域,PPT文档中常常包含丰富的图片内容,这些图片不仅提升了... 目录一、引言二、环境与工具三、python 提取PPT背景图片3.1 提取幻灯片背景图片3.2 提取

使用Python实现图像LBP特征提取的操作方法

《使用Python实现图像LBP特征提取的操作方法》LBP特征叫做局部二值模式,常用于纹理特征提取,并在纹理分类中具有较强的区分能力,本文给大家介绍了如何使用Python实现图像LBP特征提取的操作方... 目录一、LBP特征介绍二、LBP特征描述三、一些改进版本的LBP1.圆形LBP算子2.旋转不变的LB

Maven的使用和配置国内源的保姆级教程

《Maven的使用和配置国内源的保姆级教程》Maven是⼀个项目管理工具,基于POM(ProjectObjectModel,项目对象模型)的概念,Maven可以通过一小段描述信息来管理项目的构建,报告... 目录1. 什么是Maven?2.创建⼀个Maven项目3.Maven 核心功能4.使用Maven H

Python中__init__方法使用的深度解析

《Python中__init__方法使用的深度解析》在Python的面向对象编程(OOP)体系中,__init__方法如同建造房屋时的奠基仪式——它定义了对象诞生时的初始状态,下面我们就来深入了解下_... 目录一、__init__的基因图谱二、初始化过程的魔法时刻继承链中的初始化顺序self参数的奥秘默认

SpringBoot使用GZIP压缩反回数据问题

《SpringBoot使用GZIP压缩反回数据问题》:本文主要介绍SpringBoot使用GZIP压缩反回数据问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot使用GZIP压缩反回数据1、初识gzip2、gzip是什么,可以干什么?3、Spr

Spring Boot 集成 Quartz并使用Cron 表达式实现定时任务

《SpringBoot集成Quartz并使用Cron表达式实现定时任务》本篇文章介绍了如何在SpringBoot中集成Quartz进行定时任务调度,并通过Cron表达式控制任务... 目录前言1. 添加 Quartz 依赖2. 创建 Quartz 任务3. 配置 Quartz 任务调度4. 启动 Sprin

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Java使用SLF4J记录不同级别日志的示例详解

《Java使用SLF4J记录不同级别日志的示例详解》SLF4J是一个简单的日志门面,它允许在运行时选择不同的日志实现,这篇文章主要为大家详细介绍了如何使用SLF4J记录不同级别日志,感兴趣的可以了解下... 目录一、SLF4J简介二、添加依赖三、配置Logback四、记录不同级别的日志五、总结一、SLF4J