Node.js 在my nodejs服务器中防止xhr攻击

我正在开发一个nodejs服务器，它将与客户端移动应用程序交互。我在服务器上遇到了一些称为XSS和XHR的攻击。我遇到了一个称为node validator的模块，该模块用于处理和验证输入。我需要了解XSS和XHR攻击是否具有相同的效果，以及该模块是否有用对于这两种攻击，任何关于这方面的想法都会非常有用。

XSS攻击也称为跨站点脚本攻击。攻击者利用未经清理的输入字段将javascript注入应用程序。一个常见的例子是，如果攻击者设法将javascript注入博客帖子评论中。然后，每当有人查看评论时，它就会执行（如果未正确消毒）。可以阅读有关此类攻击的示例

XHR攻击只是XSS攻击的一个扩展，在XSS攻击中，注入的脚本使AJAX回调到域服务器

事实上，预防这类攻击相当容易。通过验证您的输入（去掉HTML标记）和转义特殊字符，如“，”，`，等等，您可以防止这种情况。我绝对建议使用外部库来实现这一点，因为您自己可能会错过一些东西

---

此外，这也是一个类似的问题，可能会对您有所帮助。

XSS攻击也称为跨站点脚本攻击。攻击者利用未经清理的输入字段将javascript注入应用程序。常见的示例是，攻击者成功将javascript注入博客帖子评论。然后（如果未正确清理）每次有人查看评论时都执行。可以阅读有关此类攻击的示例

XHR攻击只是XSS攻击的一个扩展，在XSS攻击中，注入的脚本使AJAX回调到域服务器

实际上，防止这些类型的攻击是相当容易的。通过验证输入（去掉HTML标记）和转义特殊字符，如“，”，`，等等，您可以防止这种情况。我绝对建议使用外部库来防止这种情况，因为您自己可能会错过一些内容

---

此外，这也是一个类似的问题，可能会对您有所帮助。

如果您使用的是expressjs/connect，则有一个“内置的”。

如果您使用的是expressjs/connect，则有一个“内置的”.

我正在使用csrf中间件，它通过要求向所有POST请求提交一个令牌来防止XSS和XHR攻击。该令牌由服务器在每个页面请求上生成。这对我来说很有用。我已经测试过它，试图从不同的服务器对我自己的站点进行攻击，但由于令牌丢失，所有请求都被阻止。我使用的是csrf中间件，它通过要求向所有POST请求提交令牌来防止XSS和XHR攻击。该令牌由服务器在每个页面请求上生成。这对我来说是个诀窍。我已经测试过它，尝试从不同的服务器对我自己的站点进行攻击，所有请求都被阻止，因为令牌丢失。