使用mongoose防御XSS攻击

问题描述 投票:0回答:2

我正在 

node.js
开展一个项目,该项目使用 
mongoose
来处理 
MongoDB
。我想防御 XSS 攻击。建议的方法是什么?我找到了这个: https://www.npmjs.com/package/mongoose-sanitizer

可以吗?我正在寻找一种不需要检查每个输入的解决方案。

javascript node.js mongodb mongoose
2个回答
3
投票

mongo-sanitize
是清理所有输入的最佳选择。您可以直接在 Mongoose 操作中进行清理,或者更好的是,在服务器收到输入时立即进行清理。

var sanitize = require("mongo-sanitize");
MongooseModel.update({ value: sanitize(input) }, function(err, doc) {
    // ...
});

您试图避免的攻击类型称为 NoSQL 注入

0
投票

您可以使用 NPM 包,例如:

  1. xss:(使用白名单指定的配置清理不受信任的 HTML(以防止 XSS))
  2. express-mongo-sanitize:Express 中间件,可清理用户提供的数据以防止 MongoDB 运算符注入。
  3. Helmet:设置与安全相关的 HTTP 响应标头,以防止一些众所周知的 Web 漏洞。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.