Node.js 开发-第 19 篇：Node.js 应用的安全防护

Node.js 开发-第 19 篇：Node.js 应用的安全防护

一、常见安全漏洞（如 XSS、CSRF、SQL 注入等）的原理与防范措施

（一）跨站脚本攻击（XSS）

1. 原理

跨站脚本攻击（Cross-Site Scripting，简称 XSS）是指攻击者通过在目标网站注入恶意脚本，当用户访问该网站时，恶意脚本会在用户的浏览器中执行，从而获取用户的敏感信息，如 cookie、会话令牌等。常见的注入方式包括在 URL 参数、表单输入等位置注入恶意脚本。

2. 防范措施

• 输入验证和过滤：对用户输入的数据进行严格的验证和过滤，去除或转义其中的特殊字符，如 <、>、" 等。在 Node.js 中，可以使用 he 库进行 HTML 实体编码。

npm