express-validator sanitize.escape() 是否与 DOMPurify 相同?

【问题标题】:Does express-validator sanitize.escape() the same as DOMPurify?express-validator sanitize.escape() 是否与 DOMPurify 相同?
【发布时间】:2018-08-22 08:58:46
【问题描述】:

想采取措施保护自己免受 XSS 攻击。

现在,我有:

sanitizeQuery('searchQuery').escape().trim()

这是足够的保护吗?或者你会建议添加类似 DOM Purify 的东西(在节点端运行)吗?

【问题讨论】:

    标签: node.js express xss sanitization express-validator


    【解决方案1】:

    简短回答:否

    长答案:您的方法将帮助您完成大部分工作,但我引用:

    如果您将不受信任的数据放入标签中的任何位置,或事件处理程序属性(如 onmouseover)、CSS 或 URL 中,则 HTML 实体编码不起作用。

    你应该使用类似DOMPurify

    来源XSS Prevention Cheat Sheet

    【讨论】:

      【解决方案2】:

      您可以将dompurify 与 express-validator 一起使用。

      const { param, validationResult } = require('express-validator')
const createDOMPurify = require('dompurify');
const { JSDOM } = require('jsdom');

 const xssSenitize = (value) => {
    const window = new JSDOM('').window;
    const DOMPurify = createDOMPurify(window);
    return DOMPurify.sanitize(value, { ALLOWED_TAGS: [] });
  }

 query(['id']).customSanitizer(xssSenitize)

      【讨论】:

        猜你喜欢
        • 2015-06-08
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2010-09-13
        • 2011-01-28
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode