我发现了NowJS,一见钟情,它看起来非常酷。我玩弄了教程,它运行良好。NowJS的安全性
现在我问自己:这有多安全?是不是可以注入XSS?安全问题是在我的应用程序中使用它的最大障碍。
我应该像使用socket.io一样使用socket,还是以一种安全的方式让NowJS更容易?
我发现了NowJS,一见钟情,它看起来非常酷。我玩弄了教程,它运行良好。NowJS的安全性
现在我问自己:这有多安全?是不是可以注入XSS?安全问题是在我的应用程序中使用它的最大障碍。
我应该像使用socket.io一样使用socket,还是以一种安全的方式让NowJS更容易?
XSS是你必须保护自己的方式,你必须验证传入的数据并在将它放入文档之前将其转义。然而,更大的问题将是nowjs中允许代码执行或DOS与服务器混合的bug。
使用验证模块validator可以消毒什么正在发送:
everyone.now.distributeMessage = function(message) {
var str = sanitize(message).xss();
everyone.now.receiveMessage(str);
}
我想澄清“服务器端”:你的意思是“接收端”,对不对? – thejh
是的,这是正确的。所以你需要在node.js中的服务器上声明一个函数来验证输入。但是,您可以从客户端“调用”该功能。 – swatkins