Javascript req.body在I console.log进入节点时显示密码
我在后端使用NodeJs,并从一个表单收集用户的用户名和密码 我发现它显示了表单中的用户名和密码 这是否意味着我的代码易受攻击?还是应该如此Javascript req.body在I console.log进入节点时显示密码,javascript,html,node.js,Javascript,Html,Node.js,我在后端使用NodeJs,并从一个表单收集用户的用户名和密码 我发现它显示了表单中的用户名和密码 这是否意味着我的代码易受攻击?还是应该如此 尽管用户的密码被散列并存储在数据库中。是,req.body将包含传递给它的所有数据,包括密码 只是不要将其发送到生产环境中的控制台 相反,您可以使用这些值来验证用户、保存在数据库中或执行任何其他需要执行的逻辑 如果req.body没有密码,那么如何验证尝试登录的用户?是,req.body将包含传递给它的所有数据,包括密码 只是不要将其发送到生产环境中的控制
尽管用户的密码被散列并存储在数据库中。是,
req.body如果
req.bodyreq.body如果
req.body只有在HTTP(而不是HTTPS)上运行它才是不安全的,这样中间的连接点可以看到密码,或者服务器的DNS可能被劫持,或者如果你在服务器上做了一些不安全的事情(存储不正确,登录到日志文件等等)。
如果您运行的是安全的https,并且您在服务器上散列密码,只存储一个散列,并且为数据库的安全采取了适当的安全措施,那么您将执行大多数站点所做的操作。发送到服务器的任何表单数据都必须在服务器上可见。这是正常的。这就是客户端向服务器发送数据的方式
只有在HTTP(而不是HTTPS)上运行它才是不安全的,这样中间的连接点可以看到密码,或者服务器的DNS可能被劫持,或者如果你在服务器上做了一些不安全的事情(存储不正确,登录到日志文件等等)。
如果您运行的是安全的https,您在服务器上散列密码,只存储一个散列,并且为数据库的安全采取了适当的安全措施,那么您将执行大多数网站所做的操作。如果您的代码中需要打印,您可以使用环境标志,通常我会在config.js中设置一个属性,例如,“devMode”:true,则我使用此属性进行打印,例如: const{devMode}=require('./config.js'); if(devMode)console.log('helloworld')
在为生产部署时,只需将devMode更改为false如果代码中需要打印,可以使用环境标志,通常我在config.js中设置一个属性,例如,“devMode”:true,然后我使用此属性进行打印,例如: const{devMode}=require('./config.js'); if(devMode)console.log('helloworld')
当您为生产部署时,只需将devMode更改为false要比较的密码最好在数据库中进行散列,但用户键入的密码在发送到服务器之前通常不会进行散列以进行比较。这就是
req.bodyreq.body