Безопасность в NowJS
Я нашел NowJS и на первый взгляд это выглядело очень круто. Я играл с учебниками, и это сработало хорошо.
Теперь я спрашиваю себя: насколько это безопасно? Разве нельзя вводить XSS? Проблема безопасности является самым большим препятствием для использования его в моих приложениях.
Должен ли я использовать socket.io, как раньше, или NowJS - это хороший способ сделать это проще и безопаснее?
3 ответа
Посмотрите на это сообщение в блоге от now.js:
http://blog.nowjs.com/nowjs-and-security
Вы можете очистить ввод через функцию на стороне клиента. Поскольку они не передают тело функции, вы довольно защищены от инъекций.
XSS - это то, что вы должны защитить сами, вы должны проверить входящие данные и избежать их, прежде чем вставить их в документ. Однако более серьезной проблемой будут ошибки в nowjs, которые позволяют выполнять код или агрегировать DOS на сервере.
Используя валидатор модуля валидатора, вы можете очистить отправляемую информацию:
everyone.now.distributeMessage = function(message) {
var str = sanitize(message).xss();
everyone.now.receiveMessage(str);
}