nodejs作为服务端_nodejs服务器攻击

hacker|
567

无法连接到本地服务器中用Nodejs问题,怎么解决

搭建nodejs服务器步骤:

1.安装nodejs服务(从官网下载安装),node相当于apache服务器

2.在自己定义的目录下新建服务器文件如 server.js

例如,我在E:\PhpProject\html5\websocket下创建了server.js文件

var http = require('http');//引入http模块//开启服务,监听8888端口//端口号最好为6000以上var server = http.createServer(function(req,res){

/*

req用来接受客户端数据

res用来向客户端发送服务器数据

*/

console.log('有客户端连接');//创建连接成功显示在后台

//一参是http请求状态,200连接成功

//连接成功后向客户端写入头信息

res.writeHeader(200,{ 'content-type' : 'text/html;charset="utf-8"'

});

res.write('这是正文部分');//显示给客户端

res.end();

}).listen(8888);

console.log('服务器开启成功');123456789101112131415161718192021222324

3.在cmd控制台中cd切换进server.js所在的目录,然后执行node server.js命令

当控制台显示”服务器开启成功”则说明node服务器已经建立

4.在浏览器中访问服务器

在浏览器中输入

localhost:8888 , 浏览器显示“这是正文部分”。

查看cmd控制台,显示 “有客户端连接”

可在多个浏览器窗口中进行以上操作,每个浏览器窗口均会对应一次“有客户端连接”

以上步骤完成,node服务搭建完毕。下面是如何通过搭建的node服务访问本地站点的 text/html文本文件

访问本地站点文件

1.在自定义的目录下创建node服务文件server2.js

var http = require('http');var fs = require('fs');//引入文件读取模块var documentRoot = 'E:/PhpProject/html5/websocket/www';//需要访问的文件的存放目录var server= http.createServer(function(req,res){

var url = req.url;

//客户端输入的url,例如如果输入localhost:8888/index.html

//那么这里的url == /index.html

var file = documentRoot + url;

console.log(url); //E:/PhpProject/html5/websocket/www/index.html

fs.readFile( file , function(err,data){

/*

一参为文件路径

二参为回调函数

回调函数的一参为读取错误返回的信息,返回空就没有错误

二参为读取成功返回的文本内容

*/

if(err){

res.writeHeader(404,{ 'content-type' : 'text/html;charset="utf-8"'

});

res.write('h1404错误/h1p你要找的页面不存在/p');

res.end();

}else{

res.writeHeader(200,{ 'content-type' : 'text/html;charset="utf-8"'

});

res.write(data);//将index.html显示在客户端

res.end();

}

});

}).listen(8888);

console.log('服务器开启成功');12345678910111213141516171819202122232425262728293031323334353637383940414243444546

2.创建index.html文件

如果要访问index.html文件,当然你得先有这个文件,不然服务器读取失败,返回40412

3.在cmd控制台cd切换到 server2.js的目录下执行node server2.js命令

开启服务器

4.在浏览器输入localhost:8888/index.html访问 该文件

服务端如何防止别人模拟请求,服务器被攻击

客户端请求时加上一个对随机数的签名,服务器端验证,算法不公开。这样对所有签名不对的请求,立即关闭连接。

nodejs安全吗

安全是不容忽视的,每个开发者都知道它非常重要,真正严肃对待它的却没有几人。我们 RisingStack 希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因,你的应用在被成千上万用户使用前必须要做安全检查。

这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。同时推荐你去阅读我们的引导文章 Node.js security,如果你刚开始使用Node.js,推荐你看这篇文章 first chapter of Node Hero。

配置管理

HTTP 安全头部

有些关于安全的HTTP头部是你的网站必须要有的:

Strict-Transport-Security 强制将HTTP请求替换为HTTPS请求

X-Frame-Options 防止点击劫持

X-XSS-Protection 开启跨站脚本攻击(XSS)的过滤,大多数现代浏览器支持这个设置

X-Content-Type-Options 禁用浏览器对响应内容MIME类型的嗅探,严格使用响应的Content-Type的值

Content-Security-Policy 能有效防止多种攻击,包括跨站脚本和跨站注入

Node.js开发者可以使用Helmet模块置这些头部,代码如下:

var express = require('express');

var helmet = require('helmet');

var app = express();

app.use(helmet());

Koa和ThinkJS框架中可以使用koa-helmet来设置这些头部,当然有关安全的头部不止这些,更多请看Helmet和MDN HTTP Headers。

在大多数架构里这些头部可以设置在web服务器的配置中(Apache、Nginx),不需要对应用代码进行改动。在Nginx中的配置:

# nginx.conf

add_header X-Frame-Options SAMEORIGIN;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self'";

有一个完整的Nginx配置文件,帅气的传送门在此。

如果你想快速检查你的网站是否有了所有的必须头部,请使用这个在线检查器。

客户端的敏感数据

当发布前端应用时,确保你的代码里永远不会包含API密码和证书,因为它可以被任何人看到。

没有自动化的方法去检查你在代码里写了敏感数据,但是有两个可以降低向客户端暴露敏感数据风险的方法:

使用 pull requests 提交代码

定期 code review

0条大神的评论

发表评论