在应用 Node.js 作为后台服务时,以下 3 种情况是非常要注意的,不注意的话会严重导致线上安全问题,从而导致公司、企业的严重损失。
eval 函数 在任何情况下,都应杜绝使用该函数,因为该函数存在非常不可控的因素,这点和 SQL 注入相似,相当于 JS 代码注入.因此无论任何情况下,代码中都不允许 eval 的使用,因为不可控因素太大。
文件读写
其次在写文件时,更加要注意风险问题,一般情况下,分开写目录和源代码目录,例如可以将上传的文件或者日志文件放到另外一个单独目录,并控制权限即可。以防代码写漏洞,导致本地文件被篡改,或者写入一些脚本文件从而控制服务器。
其次在写文件时,更加要注意风险问题,一般情况下,分开写目录和源代码目录,例如可以将上传的文件或者日志文件放到另外一个单独目录,并控制权限即可。以防代码写漏洞,导致本地文件被篡改,或者写入一些脚本文件从而控制服务器。
此文章为7月Day05学习笔记,内容来源于极客时间《Node.js开发实战》,强烈推荐该课程!
