Node.js http-proxy-middleware: connessione protetta tra server

0

Ho un back-end e un'applicazione front-end in esecuzione su due server diversi (host). Per evitare l'uso di CORS e semplificare la comunicazione, vorrei servire il front-end statico con un'applicazione Node.js. Le richieste al back-end verrebbero quindi inoltrate all'applicazione back-end all'interno dell'applicazione Node.js. Su entrambi i lati viene utilizzato un server protetto HTTPS.

C'è uno strumento chiamato http-proxy-middleware che è in grado di creare un proxy per tutte le richieste sul retro -end server. Sto usando il seguente script:

var express = require('express');
var proxy = require('http-proxy-middleware');

var options = {
    target: 'https://[server]',
    changeOrigin: true,
    secure: true
};

var exampleProxy = proxy(options);
var app = express();

app.use('/api', exampleProxy);
app.use(express.static(__dirname + "/public"));
app.listen(process.env.PORT || 8080);

Poiché la connessione viene effettuata tramite HTTPS e il server back-end accetta solo le richieste HTTPS, mi aspetto che questo metodo sia sicuro. Ma è così? Esiste un possibile vettore di attacco? È possibile che l'implementazione di http-proxy-middleware rilasci i dati attraverso la comunicazione HTTPS?

    
posta ssc-hrep3 12.09.2017 - 18:30
fonte

1 risposta

1

Nel tuo caso d'uso se il TLS è implementato correttamente non vedo alcun problema.

Certo, il modo più sicuro è VPN e ipsec completo, ma non conosco la funzionalità della tua app, quindi forse è eccessivo.

Come dicono tutti i membri della sicurezza "Dipende" da quanto sono sensibili e interessanti i tuoi dati sul filo.

Comunque suggerisco di guardare un po 'nel codice sorgente di http-proxy-middleware. Cosa succede quando Node.js è nella domanda, io guardo sempre nel codice sorgente dei pacchetti per prevenire possibili perdite di memoria e perdite di sicurezza.

Come utente Node.js che suggerisco di utilizzare su ogni progetto prima di implementare link è facoltativo, ma lo faccio in modo da poter dormire meglio e completamente ho fiducia solo nel mio codice:)

    
risposta data 13.09.2017 - 20:49
fonte

Leggi altre domande sui tag