Node.js REST API-URI清理?
我希望根据请求的URI要求Node.js服务器中的页面 然而,我担心这可能是一个严重的安全问题,因为用户可以向url中注入一些恶意字符,比如Node.js REST API-URI清理?,node.js,rest,api,security,uri,Node.js,Rest,Api,Security,Uri,我希望根据请求的URI要求Node.js服务器中的页面 然而,我担心这可能是一个严重的安全问题,因为用户可以向url中注入一些恶意字符,比如。/../,然后到达我的根服务器点并显示所有代码 因此,就像向大火中扔一瓶水一样,我取消了向请求发送的选项 这可能不是银弹:) 也许在基于Node.js的RESTAPI中有一些关于URI清理的标准/最佳实践/指南或要点 编辑-此处代码使用require // app.js app.use(require('./services/router')(app));
。/../// app.js
app.use(require('./services/router')(app));
// router.js middleware
function router(app) {
return function(req, res, next) {
try {
// checking for . in the url
if (req.url.indexOf(".")!=-1) cast.badRequest();
// req.url.split('/')[2] should be customers, users or anything else
require('../../resources/' + req.url.split('/')[2] + '/' + req.url.split('/')[2] + '-router')(app);
next();
} catch(err) { cast.notFound(); }
}
}
module.exports = router;
// rides-router.js (this could be users-router.js or customers-router.js)
module.exports = function(app) {
// GET ride - select a ride
app.get("/v1/rides/:id", dep.verifyToken(), require('./api/v1-get-ride'));
// POST ride - insert a new ride
app.post("/v1/rides", dep.verifyToken(), require('./api/v1-set-ride'));
app.use((req, res, next) => {
cast.notFound();
});
}
你问我怎么做更安全。我的建议是,将所有资源放在一个数组中,运行所有
app.use()require()// add routes for all resources
const resourceList = ['rides', 'products', ...];
for (let r of resourceList) {
app.use(`/${r}`, require(`./resources/${r}/${r}-router`));
}
require()require()你能解释一下实际的问题吗?为什么你要尝试
require()require()require()