當項目周期快結(jié)束時，開發(fā)人員會越來越關(guān)注應(yīng)用的“安全性”問題。一個安全的應(yīng)用程序并不是一種奢侈，而是必要的。你應(yīng)該在開發(fā)的每個階段都考慮應(yīng)用程序的安全性，例如系統(tǒng)架構(gòu)、設(shè)計、編碼，包括最后的部署。

在這篇教程中，我們將一步步來學(xué)習(xí)如何提高Node.js應(yīng)用程序安全性的方法。

1. 數(shù)據(jù)驗證 - 永遠不要信任你的用戶

來自用戶輸入或其他系統(tǒng)的數(shù)據(jù)，你都必須要進行驗證。否則，這會對當前系統(tǒng)造成威脅，并導(dǎo)致不可想象的安全漏洞?，F(xiàn)在，讓我們學(xué)習(xí)如何驗證Node.js中的傳入數(shù)據(jù)。你可以使用名為 validator 的模塊來執(zhí)行數(shù)據(jù)驗證。 例如：

const validator = require('validator'); 
validator.isEmail('foo@bar.com'); //=> true 
validator.isEmail('bar.com'); //=> false 

另外，你也可以使用 joi 模塊來進行數(shù)據(jù)和模型的驗證，例如：

const joi = require('joi'); 
  try { 
    const schema = joi.object().keys({ 
      name: joi.string().min(3).max(45).required(), 
      email: joi.string().email().required(), 
      password: joi.string().min(6).max(20).required() 
    }); 
 
    const dataToValidate = { 
        name: "Shahid", 
        email: "abc.com", 
        password: "123456", 
    } 
    const result = schema.validate(dataToValidate); 
    if (result.error) { 
      throw result.error.details[0].message; 
    }     
  } catch (e) { 
      console.log(e); 
  } 

2. SQL注入攻擊

SQL注入可以讓惡意用戶通過傳遞非法參數(shù)，來篡改SQL語句。下面是一個例子，假設(shè)你寫了這樣一個SQL：

UPDATE users  
SET first_name="' + req.body.first_name + '" WHERE id=1332; 

在正常情況下，你希望這次查詢應(yīng)該是這樣的：

UPDATE users  
SET first_name = "John" WHERE id = 1332; 

但是現(xiàn)在，如果有人將 first_name 的值按下面這種方式傳遞：

John", last_name="Wick"; -- 

這時，你的SQL語句就會變成這樣：

UPDATE users  
SET first_name="John", last_name="Wick"; --" WHERE id=1001; 

你會看到， WHERE 條件被注釋掉了，這次更新會將整張表所有用戶的 first_name 改成 John ， last_name 改成 Wick 。這下，你闖禍了!

如何避免SQL注入

避免SQL注入攻擊最有效的辦法就是將輸入數(shù)據(jù)進行過濾。你可以對每一個輸入數(shù)據(jù)逐一進行驗證，也可以用參數(shù)綁定的方式驗證。開發(fā)者們最常用的就是參數(shù)綁定的方式，因為它高效而且安全。

如果你在使用一些比較流行的ORM框架，例如sequelize、hibernate等等，那么框架中就已經(jīng)提供了這種數(shù)據(jù)驗證和SQL注入保護機制。

如果你更喜歡依賴數(shù)據(jù)庫模塊，例如 mysql for Node ，那么你可以使用數(shù)據(jù)庫提供的過濾方法。下面代碼是使用 mysql for Node 的一個例子：

var mysql = require('mysql'); 
var connection = mysql.createConnection({ 
  host     : 'localhost', 
  user     : 'me', 
  password : 'secret', 
  database : 'my_db' 
}); 
 
connection.connect(); 
 
connection.query( 
    'UPDATE users SET ?? = ? WHERE ?? = ?', 
    ['first_name',req.body.first_name, ,'id',1001], 
    function(err, result) { 
    //... 
}); 

?? 的地方被字段名稱替換， ? 的地方被字段值替換，這樣就保證了輸入值的安全性。

你也可以使用存儲過程來提高安全級別，但是由于缺乏可維護性，開發(fā)人員傾向于避免使用存儲過程。

同時，你還應(yīng)該執(zhí)行服務(wù)器端的數(shù)據(jù)驗證。 但我不建議你手動驗證每個字段，可以使用 joi 等模塊來解決這個問題。

類型轉(zhuǎn)換

JavaScript是一種動態(tài)類型語言，即值可以是任何類型。你可以使用類型轉(zhuǎn)換方法來驗證數(shù)據(jù)的類型，這樣就能保證，只有指定類型的數(shù)據(jù)才可以進入數(shù)據(jù)庫。比如，用戶ID只能是數(shù)字類型，看下面的代碼：

var mysql = require('mysql'); 
var connection = mysql.createConnection({ 
  host     : 'localhost', 
  user     : 'me', 
  password : 'secret', 
  database : 'my_db' 
}); 
 
connection.connect(); 
 
connection.query( 
    'UPDATE users SET ?? = ? WHERE ?? = ?', 
    ['first_name',req.body.first_name, ,'id',Number(req.body.ID)], 
    function(err, result) { 
    //... 
}); 

你注意到變化了嗎?這里我們使用了 Number(req.body.ID) 方法來確保用戶ID必須為數(shù)字。

3. 應(yīng)用程序認證和授權(quán)

敏感數(shù)據(jù)(例如密碼)應(yīng)該以一種安全的方式存儲在系統(tǒng)中，這樣，惡意用戶就不會濫用敏感信息。在本節(jié)中，我們將學(xué)習(xí)如何存儲和管理通用的密碼，幾乎每個應(yīng)用程序在其系統(tǒng)中都有不同的密碼存儲方式。

密碼哈希

哈希是一個將輸入值生成固定大小字符串的函數(shù)。哈希函數(shù)的輸出值是無法解密的，因此可以說是“單向的”。因此，像密碼這樣的數(shù)據(jù)，存儲在數(shù)據(jù)庫中的值必須是哈希值，而不是明文。

你也許想知道，既然哈希是一種不可逆的加密方式，那么攻擊者又是如何取得密碼訪問權(quán)限的呢?

正如我上面提到的那樣，哈希加密使用輸入字符串并生成固定長度的輸出值。因此，攻擊者采取了相反的方法，他們從常規(guī)密碼列表中生成哈希，然后將哈希與系統(tǒng)中的哈希進行比較以找到密碼。這種攻擊方式叫做查表法(Lookup Tables)

這就是為什么你作為系統(tǒng)架構(gòu)師，絕不允許系統(tǒng)中使用簡單通用密碼的原因。為了避免攻擊，你也可以使用一種叫”salt"的東西，我們稱之為“哈希加鹽法”。將salt附加到密碼哈希中，從而使輸入值唯一。salt值必須是隨機的不可預(yù)測的。我們建議你使用的哈希算法是 BCrypt ，在Node.js中，你可以使用bcyrpt節(jié)點模塊執(zhí)行哈希處理。

請參考下面例子中的代碼：

const bcrypt = require('bcrypt'); 
 
const saltRounds = 10; 
const password = "Some-Password@2020"; 
 
bcrypt.hash( 
    password, 
    saltRounds, 
    (err, passwordHash) => { 
 
    //we will just print it to the console for now 
    //you should store it somewhere and never logs or print it 
 
    console.log("Hashed Password:", passwordHash); 
}); 

SaltRounds 函數(shù)是哈希函數(shù)的成本，成本越高，生成的hash密碼越安全。你應(yīng)該根據(jù)服務(wù)器的計算能力來確定salt值，密碼的hash值生成后，用戶輸入的密碼將會和存儲在數(shù)據(jù)庫中的hash值比對，參考代碼如下：

const bcrypt = require('bcrypt'); 
 
const incomingPassword = "Some-Password@2020"; 
const existingHash = "some-hash-previously-generated" 
 
bcrypt.compare( 
    incomingPassword, 
    existingHash, 
    (err, res) => { 
        if(res && res === true) { 
            return console.log("Valid Password"); 
        } 
        //invalid password handling here 
        else { 
            console.log("Invalid Password"); 
        } 
}); 

密碼存儲

無論你是用數(shù)據(jù)庫還是文件來存儲密碼，都不能使用明文存儲。我們在上一節(jié)已經(jīng)學(xué)到，你可以將密碼進行哈希后存儲在數(shù)據(jù)庫中。我推薦密碼字段用 varchar(255) 數(shù)據(jù)類型，你也可以選擇不限長度的字段類型。如果你使用的是 bcrypt ，則可以使用 varchar(60) 字段類型，因為bcrypt會生成固定長度為60個字符的哈希。

認證和授權(quán)

一個擁有合適的角色權(quán)限系統(tǒng)，將會阻止一些惡意用戶在系統(tǒng)中做一些越權(quán)的事情。為了實現(xiàn)正確的授權(quán)過程，將合適的角色和權(quán)限分配給每個用戶，以便他們可以執(zhí)行權(quán)限范圍內(nèi)的某些任務(wù)。在Node.js中，你可以使用著名的ACL模塊，根據(jù)系統(tǒng)中的授權(quán)來開發(fā)訪問控制列表。

const ACL = require('acl2'); 
const acl = new ACL(new ACL.memoryBackend()); 
// guest is allowed to view blogs 
acl.allow('guest', 'blogs', 'view') 
// check if the permission is granted 
acl.isAllowed('joed', 'blogs', 'view', (err, res) => { 
    if(res){ 
        console.log("User joed is allowed to view blogs"); 
    } 
}); 

請查閱acl2文檔以獲取更多信息和示例代碼。

4. 暴力攻擊防護

黑客經(jīng)常會使用軟件反復(fù)使用不同的密碼嘗試獲得系統(tǒng)權(quán)限，直到找到有效密碼為止，這種攻擊方式叫做暴力攻擊。為了避免這種攻擊，一種簡單有效的辦法是“讓他等一會”，也就是說，當某人嘗試登錄系統(tǒng)并嘗試輸入無效密碼3次以上時，請讓他們等待60秒左右，然后再嘗試。這樣，攻擊者將大大提高時間成本，并且將使他們永遠無法破解密碼。

防止這種攻擊的另一種方法是屏蔽無效登錄請求的IP。系統(tǒng)在24小時內(nèi)允許每個IP進行3次錯誤地登錄嘗試。如果有人嘗試進行暴力破解，則將其IP封鎖24小時。 許多公司已使用這種方法來防止暴力攻擊。 如果使用Express框架，則有一個中間件模塊可在傳入請求中啟用速率限制。 它稱為 express = brute 。

下面是一個例子。

安裝依賴項

npm install express-brute --save 

在路由中啟用它

const ExpressBrute = require('express-brute'); 
const store = new ExpressBrute.MemoryStore(); // stores state locally, don't use this in production 
const bruteforce = new ExpressBrute(store); 
 
app.post('/auth', 
    bruteforce.prevent, // error 429 if we hit this route too often 
    function (req, res, next) { 
        res.send('Success!'); 
    } 
); 
//... 

5. HTTPS安全傳輸

現(xiàn)在已經(jīng)2021年了，你也應(yīng)該使用HTTPS來向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)了。HTTPS是具有安全通信支持的HTTP協(xié)議的擴展。使用HTTPS，可以保證用戶在互聯(lián)網(wǎng)中發(fā)送的數(shù)據(jù)是被加密的，是安全的。

在這里我不打算詳細介紹HTTPS協(xié)議的工作原理，我們只討論如何使用它。這里我強烈推薦使用 LetsEncrypt 來為你的所有域名生成安全證書。

你可以在基于Apache和Nginx的Web服務(wù)器上使用LetsEncrypt。我強烈建議你在反向代理或網(wǎng)關(guān)層上使用HTTPS協(xié)議，因為它們有很多繁重的計算操作。

6. 會話劫持保護

會話(session)是任何動態(tài)Web應(yīng)用程序最重要的部分，一個安全的會話對用戶和系統(tǒng)來說真的是非常必要的。會話是使用Cookie實現(xiàn)的，因此必須確保其安全以防止會話劫持。以下是可以為每個cookie設(shè)置的屬性列表以及它們的含義：

• secure - 該屬性告訴瀏覽器僅在通過HTTPS發(fā)送請求時才發(fā)送cookie。
• HttpOnly - 該屬性用于防止跨站點腳本攻擊，因為它不允許通過JavaScript訪問cookie。
• domain - 該屬性用于與請求URL的服務(wù)器域名進行比較，如果域名匹配，或者是其子域，那么接下來就會檢查path屬性。
• path - 除了domian之外，還可以指定cookie有效的URL路徑。 如果domain和路徑匹配，則可以在請求中發(fā)送cookie。
• expires - 該屬性用于設(shè)置持久性的cookie，cookie只會在超過了設(shè)定的日期才會過期。

在Express框架中，你可以使用 express-session npm模塊來管理會話。

const express = require('express'); 
const session = require('express-session'); 
const app = express(); 
 
app.use(session({ 
  secret: 'keyboard cat', 
  resave: false, 
  saveUninitialized: true, 
  cookie: { secure: true, path: '/'} 
})); 

7. 跨站點請求偽造攻擊(CSRF)防護

跨站點請求偽造攻擊利用系統(tǒng)中受信任的用戶，對Web應(yīng)用程序執(zhí)行有害的惡意操作。在Node.js中，我們可以使用 csurf 模塊來緩解CSRF攻擊。該模塊需要首先初始化 express-session 或 cookie-parser ，你可以看看下面的示例代碼：

const express = require('express'); 
const cookieParser = require('cookie-parser'); 
const csrf = require('csurf'); 
const bodyParser = require('body-parser'); 
 
// setup route middlewares 
const csrfProtection = csrf({ cookie: true }); 
const parseForm = bodyParser.urlencoded({ extended: false }); 
 
// create express app 
const app = express(); 
 
// we need this because "cookie" is true in csrfProtection 
app.use(cookieParser()); 
 
app.get('/form', csrfProtection, function(req, res) { 
  // pass the csrfToken to the view 
  res.render('send', { csrfToken: req.csrfToken() }); 
}); 
 
app.post('/process', parseForm, csrfProtection, function(req, res) { 
  res.send('data is being processed'); 
}); 
 
app.listen(3000); 

在網(wǎng)頁上，你需要創(chuàng)建一個隱藏輸入域，將CSRF令牌保存在該輸入域中，例如：

<form action="/process" method="POST"> 
  <input type="hidden" name="_csrf" value="{{csrfToken}}"> 
 
  Favorite color: <input type="text" name="favoriteColor"> 
  <button type="submit">Submit</button> 
</form> 

如果使用的是AJAX請求，那么CSRF令牌可以通過請求頭(header)來傳遞。

var token = document.querySelector('meta[name="csrf-token"]').getAttribute('content'); 
  headers: { 
    'CSRF-Token': token 
  } 

8. 拒絕服務(wù)

拒絕服務(wù)或DOS攻擊，可以讓攻擊者通過破壞系統(tǒng)，使系統(tǒng)被迫關(guān)閉服務(wù)或用戶無法訪問服務(wù)。攻擊者通常會向系統(tǒng)發(fā)送大量的流量和請求，從而增加服務(wù)器CPU和內(nèi)存負載，導(dǎo)致系統(tǒng)崩潰。為了緩解Node.js應(yīng)用程序中的DOS攻擊，首先是要識別此類事件， 我強烈建議將這兩個模塊集成到系統(tǒng)中。

1. Account lockout - 在n次嘗試失敗后，將帳戶或IP地址鎖定一段時間(例如24小時?)
2. Rate limiting - 限制用戶在特定時間段內(nèi)只能請求系統(tǒng)n次，例如，單個用戶每分鐘只能請求3次。

正則表達式拒絕服務(wù)攻擊(ReDOS)是DOS攻擊的一種，攻擊者利用系統(tǒng)中正則表達式的設(shè)計缺陷或計算復(fù)雜度來大量消耗服務(wù)器的系統(tǒng)資源，造成服務(wù)器的服務(wù)中斷或停止。

我們可以使用一些工具來檢查有風(fēng)險的正則表達式，從而避免這些正則表達式的使用。例如這個工具：

https://github.com/davisjam/vuln-regex-detector

9. 依賴關(guān)系驗證

我們在項目中都使用了大量的依賴項。我們還需要檢查并驗證這些依賴關(guān)系，以確保整個項目的安全性。NPM已經(jīng)具有這樣的審核功能來查找項目的漏洞。只需在源代碼目錄中運行下面的命令即可：

npm audit 

要修復(fù)漏洞，可以運行此命令：

npm audit fix 

您也可以先進行 dry run 來檢查修復(fù)程序，然后再將其應(yīng)用到項目中。

npm audit fix --dry-run --json 

10. HTTP安全頭信息

HTTP提供了一些安全頭信息，可以防止常見的攻擊。如果使用的是Express框架，則可以使用 helmet 模塊，1行代碼就可以啟用所有安全頭。

npm install helmet --save 

下面來看看如何使用：

const express = require("express");  
const helmet = require("helmet");   
const app = express();  
app.use(helmet());   
//... 

這將啟用以下HTTP頭:

• Strict-Transport-Security
• X-frame-Options
• X-XSS-Protection
• X-Content-Type-Protection
• Content-Security-Policy
• Cache-Control
• Expect-CT
• Disable X-Powered-By

這些HTTP頭可防止惡意用戶的各種攻擊，例如點擊劫持，跨站點腳本攻擊等。