Node.js NowJS中的安全性_Node.js_Socket.io_Nowjs Sockets

Node.js NowJS中的安全性

node.js socket.io

Node.js NowJS中的安全性,node.js,socket.io,nowjs-sockets,Node.js,Socket.io,Nowjs Sockets,我找到了NowJS，乍一看，它看起来很酷。我到处玩教程，效果很好现在我问自己：这有多安全？难道不能注入XSS吗？安全问题是在我的应用程序中使用它的最大障碍我应该像以前一样使用socket.io，还是说NowJS是一个安全的好方法来简化它？看看now.js的这篇博文：您可以通过客户端上的服务器端函数清理输入。因为它们不传输函数体，所以您可以非常安全地避免注入。XSS是您必须保护自己的东西，您必须验证传入数据并在将其放入文档之前对其进行转义。但是，更大的问题是nowjs中的bug，它允许对服

我找到了NowJS，乍一看，它看起来很酷。我到处玩教程，效果很好

现在我问自己：这有多安全？难道不能注入XSS吗？安全问题是在我的应用程序中使用它的最大障碍

我应该像以前一样使用socket.io，还是说NowJS是一个安全的好方法来简化它？

看看now.js的这篇博文：

您可以通过客户端上的服务器端函数清理输入。因为它们不传输函数体，所以您可以非常安全地避免注入。

XSS是您必须保护自己的东西，您必须验证传入数据并在将其放入文档之前对其进行转义。但是，更大的问题是nowjs中的bug，它允许对服务器执行代码或拒绝服务。

使用验证程序模块，您可以清理发送的内容：

everyone.now.distributeMessage = function(message) {
    var str = sanitize(message).xss();
    everyone.now.receiveMessage(str);
}

是的，没错。因此，您需要在node.js中的服务器上声明一个函数来验证输入。但是，您可以从客户端“调用”该函数。