一、 koa-helmet
先从 koa-helmet 中间件开始:文档地址。通过设置一些返回头来提升 node 服务安全性。
koa-helmet 组合了 11 个安全中间件,详情见文档。有默认加载的,可单独加载某个,可单独不加载某个。
例如下面几个为默认加载的:
dnsPrefetchControl:有些浏览器支持 DNS prefetch(当用户还未发起请求时,预先进行域名解析,并请求资源),从而造成:事实上没发请求,却请求了资源。默认为关掉该功能:即将 X-DNS-Prefetch-Control 请求头设为 true。
frameguard:通过设置X-Frame-Options头来降低“点击劫持”带来的危害。何谓“点击劫持”?劫持用户点击行为来进行一些用户不知道的恶意操作。设置 X-Frame-Options 可以阻止页面作为 iframe 使用,一定程度降低 “点击劫持”。设置选项有:DENY(完全阻止)、SAMEORIGIN(支持同域)、ALLOW-FROM http://example.com(只支持具体域名)。
hsts:通过设置 HTTP Strict Transport Security,来告诉浏览器只能通过HTTPS访问当前资源,而不是HTTP。
noSniff:通过设置 X-Content-Type-Options 阻止浏览器 sniff MIME 类型,服务器返回什么类型就显示什么类型。
二、xss 攻击
跨站脚本攻击:通过劫持页面 js,进行记录用户行为,获取认证信息等恶意操作。
主要分三种:
存储型XSS
注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。
反射型XSS
当用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。Web服务器将注入脚本,比如一个错误信息,搜索结果等 返回到用户的浏览器上。浏览器会执行这段脚本,因为,它认为这个响应来自可信任的服务器。
基于DOM的XSS
被执行的恶意脚本会修改页面脚本结构。
防范方案:
xss 模块,通过过滤用户输入来阻止 xss 攻击
xss-filter,通过过滤文件输出来阻止 xss 攻击
三、nginx 部署静态文件安全配置
add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection"1; mode=block"; add_header Content-Security-Policy"default-src 'self'";
四、其他安全措施
参考:https://segmentfault.com/a/1190000003860400
1、暴力破解认证信息:可采用限制用户验证次数,koa-ratelimite
2、session 管理:设置 cookie 发送条件和可访问条件,cookie-session
