Come proteggere correttamente l'applicazione node.js / socket.io? [chiuso]

-1

Ho più applicazioni in .NET. Ora voglio che ogni utente possa parlare all'interno della sua applicazione con altri utenti della stessa applicazione. Pertanto ho programmato un node.js / socket.io-server. Tutto funziona bene in fase di sviluppo!

Ora considero alcuni problemi di sicurezza poiché le mie applicazioni vengono eseguite su caratteri jolly ssl ( *.mydomain.com ).

  1. Come proteggere il mio server web all'interno di node.js (non sono richieste richieste GET / POST).
  2. Come proteggere il websocket.

I documenti di socket.io sono molto poveri in quanto non menzionano nulla in v1.x.

    
posta webprogrammer 20.05.2015 - 10:58
fonte

1 risposta

0

Sulla base dei commenti che seguono la tua domanda ci sono due elementi che puoi configurare per proteggere meglio i tuoi utenti.

Migliora l'implementazione di socket.io:

  1. Aggiorna l'implementazione di socket.io per utilizzare 2.x.
  2. Utilizza la configurazione di "socket.io # origins" per eliminare il carattere jolly CORS predefinito per qualsiasi dominio.
  3. Utilizza sessioni autenticate all'interno della connessione socket.io. Vedi "socket.io # adapter" o l'alternativa "session.socket.io".

Migliora le intestazioni di sicurezza dei tuoi siti:

  1. Esegui il tuo sito (se disponibile pubblicamente) tramite link per testare la tua implementazione corrente.
  2. Utilizza le guide di OWASP per ulteriori opzioni riguardanti la sicurezza del tuo sito come questo riguardante l'uso delle nuove intestazioni di sicurezza disponibili nei browser. link
risposta data 20.05.2015 - 13:52
fonte

Leggi altre domande sui tag