Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF

2023-10-11 19:59

本文主要是介绍Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

如何添加cros

插件使用文档

import cors from "@fastify/cors";fastify.register(cors, (instance) => {return (req, callback) => {const hostIp = getClientIp(req);if (/^127.0.0.1$/m.test(hostIp)) {callback('not Allow', {origin: false,});}callback(null, {origin: true,});};
});
fastify.register(AutoLoad, {dir: path.join(__dirname, "plugins"),
});fastify.register(AutoLoad, {dir: path.join(__dirname, "routes"),options: { prefix: "/api" },
});

应用加固:helmet

  • fasttify的重要安全标头。

  • nodejs提高工程安全、效率相关的中间件

  • Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。

  • 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。

Helmet安全功能有:

  1. crossdomain是用来服务crossdomain.xml

  2. contentSecurityPolicy是设置Content Security Policy,防止XSS攻击。

  3. hidePoweredBy可以移除 X-Powered-By 头部

  4. hsts用于 HTTP Strict Transport Security

  5. ieNoOpen设置IE8+的 sets X-Download-Options

  6. noCache 失效客户端缓存

  7. noSniff能避免客户端进行MIME类型进行嗅探。

  8. frameguard阻止clickjacking

  9. xssFilter能够增加一些小的XSS保护功能。

下载依赖

npm i @fastify/helmet
使用
import helmet from '@fastify/helmet'fastify.register(helmet)
// or
fastify.register(helmet, { global: true })

Csurf/CSRF

  • CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
  • CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
  • Node.js 中的 Csurf 模块防止对应用程序的跨站点请求伪造(CSRF)攻击。通过使用这个模块,当浏览器从服务器呈现一个页面时,它会发送一个随机生成的字符串作为 CSRF 标记。因此,当执行开机自检请求时,它将随机发送 CSRF 令牌作为 cookie。对于每个请求,发送的令牌都是不同的,因为它们是随机生成的。

在express中我们会这样用它

下面代码中:

  • csrf 将作为生成和验证 CSRF cookie 的中间件。
  • 中间件将增加一个生成 cookies 的功能。
  • 该函数将通过隐藏的表单字段传递给请求。
  • 当用户发送请求时,这个创建的 cookie 将被验证。
  • 中间件填充 req.csrfToken()
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });var app = express();
app.set('view engine','ejs')app.use(cookieParser());app.get('/form', csrfProtection, function (req, res) {// pass the csrfToken to the viewres.render('login', { csrfToken: req.csrfToken() });
});app.post('/process', parseForm,csrfProtection, function (req, res) {res.send('Successfully Validated!!');
});app.listen(3000, (err) => {if (err) console.log(err);console.log('Server Running');
});

待继续补充

  • 今天就写到这里啦~
  • 小伙伴们,( ̄ω ̄( ̄ω ̄〃 ( ̄ω ̄〃)ゝ我们明天再见啦~~
  • 大家要天天开心哦

欢迎大家指出文章需要改正之处~
学无止境,合作共赢

在这里插入图片描述

欢迎路过的小哥哥小姐姐们提出更好的意见哇~~

这篇关于Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/190483

相关文章

vue使用docxtemplater导出word

《vue使用docxtemplater导出word》docxtemplater是一种邮件合并工具,以编程方式使用并处理条件、循环,并且可以扩展以插入任何内容,下面我们来看看如何使用docxtempl... 目录docxtemplatervue使用docxtemplater导出word安装常用语法 封装导出方

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

使用C#代码在PDF文档中添加、删除和替换图片

《使用C#代码在PDF文档中添加、删除和替换图片》在当今数字化文档处理场景中,动态操作PDF文档中的图像已成为企业级应用开发的核心需求之一,本文将介绍如何在.NET平台使用C#代码在PDF文档中添加、... 目录引言用C#添加图片到PDF文档用C#删除PDF文档中的图片用C#替换PDF文档中的图片引言在当

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain

C#使用SQLite进行大数据量高效处理的代码示例

《C#使用SQLite进行大数据量高效处理的代码示例》在软件开发中,高效处理大数据量是一个常见且具有挑战性的任务,SQLite因其零配置、嵌入式、跨平台的特性,成为许多开发者的首选数据库,本文将深入探... 目录前言准备工作数据实体核心技术批量插入:从乌龟到猎豹的蜕变分页查询:加载百万数据异步处理:拒绝界面

Android中Dialog的使用详解

《Android中Dialog的使用详解》Dialog(对话框)是Android中常用的UI组件,用于临时显示重要信息或获取用户输入,本文给大家介绍Android中Dialog的使用,感兴趣的朋友一起... 目录android中Dialog的使用详解1. 基本Dialog类型1.1 AlertDialog(

Python使用自带的base64库进行base64编码和解码

《Python使用自带的base64库进行base64编码和解码》在Python中,处理数据的编码和解码是数据传输和存储中非常普遍的需求,其中,Base64是一种常用的编码方案,本文我将详细介绍如何使... 目录引言使用python的base64库进行编码和解码编码函数解码函数Base64编码的应用场景注意