Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF

如何添加cros

插件使用文档

import cors from "@fastify/cors";

fastify.register(cors, (instance) => {
  return (req, callback) => {
    const hostIp = getClientIp(req);
    if (/^127.0.0.1$/m.test(hostIp)) {
      callback('not Allow', {
        origin: false,
      });
    }
    callback(null, {
      origin: true,
    });
  };
});
fastify.register(AutoLoad, {
  dir: path.join(__dirname, "plugins"),
});

fastify.register(AutoLoad, {
  dir: path.join(__dirname, "routes"),
  options: { prefix: "/api" },
});

应用加固：helmet

• fasttify的重要安全标头。

• nodejs提高工程安全、效率相关的中间件

• Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。

• 一些著名的对Web攻击有XSS跨站脚本， 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁，使用Helmet能帮助你的应用避免这些攻击。

Helmet安全功能有:

1. crossdomain是用来服务crossdomain.xml

2. contentSecurityPolicy是设置Content Security Policy，防止XSS攻击。

3. hidePoweredBy可以移除 X-Powered-By 头部

4. hsts用于 HTTP Strict Transport Security

5. ieNoOpen设置IE8+的 sets X-Download-Options

6. noCache 失效客户端缓存

7. noSniff能避免客户端进行MIME类型进行嗅探。

8. frameguard阻止clickjacking

9. xssFilter能够增加一些小的XSS保护功能。

下载依赖

npm i @fastify/helmet

使用

import helmet from '@fastify/helmet'

fastify.register(helmet)
// or
fastify.register(helmet, { global: true })

Csurf/CSRF

• CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。
• CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账……造成的问题包括：个人隐私泄露以及财产安全。
• Node.js 中的 Csurf 模块防止对应用程序的跨站点请求伪造(CSRF)攻击。通过使用这个模块，当浏览器从服务器呈现一个页面时，它会发送一个随机生成的字符串作为 CSRF 标记。因此，当执行开机自检请求时，它将随机发送 CSRF 令牌作为 cookie。对于每个请求，发送的令牌都是不同的，因为它们是随机生成的。

在express中我们会这样用它

下面代码中：

• csrf 将作为生成和验证 CSRF cookie 的中间件。
• 中间件将增加一个生成 cookies 的功能。
• 该函数将通过隐藏的表单字段传递给请求。
• 当用户发送请求时，这个创建的 cookie 将被验证。
• 中间件填充 req.csrfToken()

const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');

var csrfProtection = csrf({ cookie: true });
var parseForm = bodyParser.urlencoded({ extended: false });

var app = express();
app.set('view engine','ejs')

app.use(cookieParser());

app.get('/form', csrfProtection, function (req, res) {
  // pass the csrfToken to the view
  res.render('login', { csrfToken: req.csrfToken() });
});

app.post('/process', parseForm,
      csrfProtection, function (req, res) {
  res.send('Successfully Validated!!');
});

app.listen(3000, (err) => {
   if (err) console.log(err);
   console.log('Server Running');
});

待继续补充

• 今天就写到这里啦~
• 小伙伴们，(￣ω￣(￣ω￣〃 (￣ω￣〃)ゝ我们明天再见啦~~
• 大家要天天开心哦

欢迎大家指出文章需要改正之处~
学无止境，合作共赢

欢迎路过的小哥哥小姐姐们提出更好的意见哇~~