NodeJs 安全设计规范

• CSRF攻击

什么是CSRF?
跨站请求伪造，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性
一个网页通常会通过POST/PUT/DELETE请求更改对应用户账户的信息。但是浏览器并不会限制其它网站对你网站的访问。如果在其它网站中有一个链接叫“抽奖”，用户点了，该链接正是调用你网站的支付接口，那么用户就会莫名奇妙的损失了钱财
解法办法：
针对用户所有的PUT/POST/DELETE请求提交都添加一个算法的校验
用户在每次请求之前先生成一个加密的字符串放入请求头Headers中，服务端根据前端的算法进行解密，如果符合规则，则存储在Redis中，并设置过期时间，如果该加密字符串在Redis中存在则代表使用过，则用户提交失败，如果挺符合规则且在Redis中不存在该字符串，则允许提交，并将该字符串存储在Redis中用于下一次请求校验

• XSS攻击

什么是XSS？
通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容
解决办法：
对用户输入的所有内容进行过滤，比如特殊的HTML标签和特殊符号等

• 越权：

什么是越权？
由于没有用户权限进行严格的判断，导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作
解决办法：
对每一个用户的请求身份进行权限校验，符合权限范围则正常请求，否则警告

• “中间人攻击：”

攻击者与通讯的两端分别创建独立的联系, 并交换其所收到的数据, 使通讯的两端认为他们正在通过一个私密的连接与对方直接对话, 但事实上整个会话都被攻击者完全控制. 在中间人攻击中, 攻击者可以拦截通讯双方的通话并插入新的内容
目前比较常见的是在公共场所放置精心准备的免费 wifi, 劫持/监控通过该 wifi 的流量. 或者攻击路由器, 连上你家 wifi 攻破你家 wifi 之后在上面劫持流量等
解决办法：
对于通信过程中的 MITM, 常见的方案是通过 PKI / TLS 预防, 及时是通过存在第三方中间人的 wifi 你通过 HTTPS 访问的页面依旧是安全的. 而 HTTP 协议是明文传输, 则没有任何防护可言.
不常见的还有强力的互相认证, 你确认他之后, 他也确认你一下; 延迟测试, 统计传输时间, 如果通讯延迟过高则认为可能存在第三方中间人; 等等

• SQL注入：

什么是SQL注入？
当所执行的一些操作中有部分由用户传入时, 用户可以将其恶意逻辑注入到操作中. 当你使用 eval, new Function 等方式执行的字符串中有用户输入的部分时, 就可能被注入攻击
Sql 注入是网站常见的一种注入攻击方式. 其原因主要是由于登录时需要验证用户名/密码, 其执行 sql 类似SELECT*FROMusersWHEREusernae='myName’ANDpassword=‘mySecret’;
解决办法：
给表名或者字段名添加特殊的前缀，避免碰巧猜到
报错信息避免放回前端，应记录在服务器日志
过滤/验证用户输入的字符
对用户输入的字符进行转义

• HTTP/HTTPS

什么是HTTPS?
以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器Netscape Navigator中，提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面
为什么选择HTTPS?
1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全

• OAuth 2.0：

什么是OAuth 2.0？
OAuth2.0是OAuth协议的延续版本，但不向前兼容OAuth 2.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户，要么允许第三方应用代表用户获得访问的权限。同时为Web应用，桌面应用和手机，和起居室设备提供专门的认证流程。2012年10月，OAuth 2.0协议正式发布为RFC 6749