Express框架进阶4---安全（转）

以下内容基本与express中国网站生产环境最佳实践：安全一致

1. 使用新版本的Express

旧版本将不在维护，可能存在已知的漏洞

2. 使用tls、禁用X-Powered-By头

2-1. 如果应用程序处理或传输敏感数据，请使用传输层安全性 (TLS) 来保护连接和数据。这种技术用于加密数据，然后将其从客户机发送到服务器，以防止某些常见的（而且容易的）黑客攻击。虽然 Ajax 和 POST 请求可能不是很明显，似乎“隐藏”在浏览器中，但是其网络流量很容易受到包嗅探攻击和中间人攻击。
您可能很熟悉安全套接字层 (SSL) 加密。[TLS 就是下一代的 SSL](https://msdn.microsoft.com/en-us/library/windows/desktop/aa380515(v=vs.85)。换言之，如果您以前使用 SSL，请考虑升级到 TLS。一般而言，我们建议使用 Nginx 来处理 TLS。要获取在 Nginx（和其他服务器）上配置 TLS 的优秀参考信息，请参阅 Recommended Server Configurations (Mozilla Wiki)。
此外，可以使用一种方便的 Let’s Encrypt 工具来获取免费的 TLS 证书，这是由因特网安全研究组 (ISRG) 提供的免费、自动化的开放式认证中心 (CA)。
2-2. 攻击者会根据此字段知道后台的框架，采取针对性攻击。
app.disable('x-powered-by');

3. 、使用 Helmet

npm的包Helmet 通过适当地设置 HTTP 头，帮助您保护应用程序避免一些众所周知的 Web 漏洞。

Helmet 实际上只使用以下九个较小中间件函数的集合，这些功能用于设置与安全相关的 HTTP 头：

• csp 用于设置 Content-Security-Policy 头，帮助抵御跨站点脚本编制攻击和其他跨站点注入攻击。
• hidePoweredBy 用于移除 X-Powered-By 头。
• hpkp 用于添加公用密钥固定头，防止以伪造证书进行的中间人攻击。
• hsts 用于设置 Strict-Transport-Security 头，实施安全的服务器连接 (HTTP over SSL/TLS)。
• ieNoOpen 用于为 IE8+ 设置 X-Download-Options。
• noCache 用于设置 Cache-Control 和 Pragma 头，以禁用客户端高速缓存。
• noSniff 用于设置 X-Content-Type-Options，以防止攻击者以 MIME 方式嗅探浏览器发出的响应中声明的 content-type。
• frameguard 用于设置 X-Frame-Options 头，提供 clickjacking 保护。
• xssFilter 用于设置 X-XSS-Protection，在最新的 Web 浏览器中启用跨站点脚本编制 (XSS) 过滤器。

4. cookie

4-1. 将cookie中存储的session id的key设置为通用值如sessionID，在express的环境下，默认值为connect.sid;
4-2. 设置cookie安全性选项：

• secure : cookie只能通过https协议发送
• httpOnly：cookie只能在xhr请求中发送，客户端js不能读取也不能修改（防止跨站注入）
• domain：cookie的域，用于和请求 URL 的服务器的域进行比较。如果匹配，那么接下来检查路径属性。
• path：cookie的路径，用于和请求路径进行比较。如果路径和域都匹配，那么在请求中发送 cookie。
• expires：cookie过期时间，为持久性 cookie 设置到期日期

var session = require('cookie-session');
var express = require('express');
var app = express();

var expiryDate = new Date( Date.now() + 60 * 60 * 1000 ); // 1 hour
app.use(session({
  name: 'session',
  keys: ['key1', 'key2'],
  cookie: { secure: true,
            httpOnly: true,
            domain: 'example.com',
            path: 'foo/bar',
            expires: expiryDate
          }
  })
);

5. 确保依赖项的安全

引入的第三方依赖需经过安全检验。可以使用npm的nsp或requireSafe来检验第三方软件包的安全性。

6. 其他注意事项

以下是来自非常出色的 Node.js 安全核对表的一些进一步建议。请参阅此博客帖子以了解关于这些建议的所有详细信息：

• 实施速率限制，防止针对认证的暴力攻击。实现这一点的一种方式是使用 StrongLoop API 来强制实施速率限制策略。或者，可以使用诸如 express-limiter 的中间件，但是这样做需要对代码作些修改。
• 使用 csurf 中间件来防御跨站点请求伪造 (CSRF)。
• 始终过滤和净化用户输入，防御跨站点脚本编制 (XSS) 和命令注入攻击。
• 使用参数化查询或预编译的语句来防御 SQL 注入攻击。
• 使用开源的 sqlmap 工具来检测应用程序中的 SQL 注入漏洞。
• 使用 nmap 和 sslyze 工具来测试 SSL 密码、密钥和重新协商的配置以及证书的有效性。
• 使用 safe-regex 来确保正则表达式不易受到正则表达式拒绝服务攻击。

7. 避免其他已知漏洞

关注 Node 安全项目公告，这可能会影响 Express 或应用程序使用的其他模块。一般而言，Node 安全项目是有关 Node 安全性的知识和工具的出色资源。

最后说明一点，和任何其他 Web 应用程序一样，Express 应用程序也容易受到各种基于 Web 的攻击。请熟悉已知的 Web 漏洞并采取相应的预防措施。