我正在使用使用socket.io,express-js,node-js和react-js的应用程序。阅读this之后,我绝对希望在确保最佳性能的情况下尽可能保持安全。我正在考虑使用socket.io使用socket.emit从客户端向服务器发送信息(登录详细信息)。主要关注的是这些细节是否能够被外部(第三方)嗅探(看到)。不仅如此,如果这种方法不好,那么实现安全性并保持最少的后端工作(服务器负载)的最佳选择是什么。使用HTTPS时,cookie(express-session cookie)也安全吗? (请注意,每个问题都适用于正在实施的HTTPS)。感谢您的帮助。
[您需要对任何用户输入(例如用户名,密码等)进行服务器端验证。HTTPS会注意任何中间人(MITM)攻击(请确保您使用的是最新的SSL / TLS版)。这些嗅探攻击很难执行,需要有人在您的网络中。为了使cookie安全,请使用“仅HTTP”和“安全” cookie标志。您可以在此处阅读更多有关数据验证的信息-https://www.owasp.org/index.php/Data_Validation。有关Cookie标志的更多信息-https://resources.infosecinstitute.com/securing-cookies-httponly-secure-flags/
还有一件事情要确保通过代码对任何数据库事务使用参数化查询,以避免SQL注入。
我希望这会有所帮助。