2. 程式人生 > >Node學習入門篇(七):Connect自帶的中介軟體

Node學習入門篇(七):Connect自帶的中介軟體

阿新 發佈:2019-01-02

本章內容

  • 解析cookie、請求主體和查詢字串的中介軟體
  • 實現Web程式核心功能的中介軟體
  • 處理Web程式安全的中介軟體
  • 提供靜態檔案服務的中介軟體

解析cookie、請求主體和查詢字串的中介軟體

  • 常用中介軟體
    這裡寫圖片描述

    這裡寫圖片描述

注意:All node patches will be removed - all middleware should work without Connect and with similar frameworks like restify(connect內建中介軟體已經從connect中分離處理,使用時需要單獨安裝、引入)

  • 未簽名cookie

1) install

npm install cookie-parser

2) 常規(未簽名)cookie測試

var connect = require('connect');
var app = connect();
var cookieParser = require('cookie-parser')
app.use(cookieParser('sysuygm is cool'));
app.use(function(req, res) {
    console.log(req.cookies);
    console.log(req.signedCookies);
        "cookie"
 
:req.cookies,
        "signedCookies":req.signedCookies
        }));
});

3)客戶端結果

傳送

accept: application/json
accept-encoding: gzip, deflate
accept-language: en-US,en;q=0.8
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Authorization: Basic ZmFmYTpmYWZh
Cookie: foo=
 
bar;bar=baz

收到

{
"cookie": {
"foo": "bar",
"bar": "baz",
"io": "GXHOFF8zxkVibldwAAAO"
},
"signedCookies": {}
}
  • 簽名cookie

簽名cookie更適合敏感資料,因為用它可以驗證cookie資料的完整性,有助於防止中間人攻擊。有效的簽名cookie放在req.signedCookies物件中。把兩個物件分開是為了體現開發者的意圖。如果把簽名的和未簽名的cookie放到同一個物件中,常規cookie可能就會被改造,仿冒簽名的cookie

簽名cookie看起來像tobi.DDm3AcVxE9oneYnbmpqxoyhyKsk一樣,點號(.)左邊的是cookie的值,右邊是在伺服器上用SHA-1 HMAC生成的加密雜湊值(基於雜湊的訊息認證碼)。如果cookie的值或者HMAC被改變的話,Connect的解籤會失敗

1) 使用簽名的cookie

cookieParser()中介軟體沒有提供任何通過Set-Cookie響應頭向HTTP客戶端寫出站cookie的功能。但Connect可以通過res.setHeader()函式寫入多個Set-Cookie響應頭

app.use(function(req, res) {
    console.log(req.cookies);
    // console.log(req.signedCookies);
    res.setHeader('Set-Cookie',
    'foo-bar;Expires=True,08 Jun 2021 10:18 GMT');
    res.end(JSON.stringify( {'seccuss':true}));
});

2) curl 檢視

>curl http://localhost:3000/ -H "Cookie:foo-bar" --head
HTTP/1.1 200 OK
Content-Type: application/json
Set-Cookie: foo-bar;Expires=True,08 Jun 2021 10:18 GMT
Date: Sun, 15 Apr 2018 15:16:58 GMT
Connection: keep-alive

bodyParser():解析請求主體

  • 假設你要用HTML標籤接受使用者上傳的檔案。用一行程式碼新增bodyParser()中介軟體就全齊了
  • bodyParser()元件為你提供了req.body屬性,可以用來解析JSON、x-www-form-urlencoded和multipart/form-data請求
  • 如果是multipart/form-data請求,比如檔案上傳,則還有req.files 物件
  • 這是個非常有用的元件,實際上它整合了其他三個更小的元件:json(), urlencoded(), 和multipart()

1) 先安裝

npm install body-parser

2) 使用

var cookieParser = require('cookie-parser')
// app.use(bodyParser()); 最好是像下面那樣顯示指定子元件,否則會提示冗餘

// parse application/x-www-form-urlencoded
 app.use(bodyParser.urlencoded({ extended: false }));

// parse application/json
 app.use(bodyParser.json());

app.use(function(req, res) {
    console.log(req.body.username);
    // console.log(req.signedCookies);
    res.end(JSON.stringify( {
        'username':req.username,
        'password':req.pass
    }));
});

POST資料

{
  "username": "caicai",
  "pass":"sysuygm"
}

如果bodyParser()在記憶體中快取json和x-www-form-urlencoded請求主體,產生一個大字串,那攻擊者會不會做一個超級大的JSON請求主體對伺服器做拒絕服務攻擊呢?答案基本上是肯定的,所以Connect提供了limit()中介軟體元件。

limit():請求主體的限制

  • limit()中介軟體元件的目的是幫助過濾巨型的請求
  • 防止指令碼攻擊
    (好像已經被丟棄了)

query():查詢字串解析

  • 它解析查詢字串,為程式提供req.query物件
  • 它會將請求傳送過來的查詢字串以JSON格式作為響應返回去
    (似乎已經被廢棄?)

favicon():提供favicon

(似乎已經被廢棄?)
使用 serve-favicon代替,用static-favicon會提示:

(node:3324) 
DeprecationWarning: static-icon deprecated; switch to module serve-favicon

使用firefox才能看到favicon!

::1 - - [Sun, 15 Apr 2018 16:55:37 GMT] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
undefined
::1 - - [Sun, 15 Apr 2018 16:59:42 GMT] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"
undefined
::1 - - [Sun, 15 Apr 2018 16:59:54 GMT] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"

logger():記錄請求

已被廢棄,現在用morgan代替, 直接安裝morgan

body-parser deprecated bodyParser: use individual json/urlencoded middlewares connect.js:27:9
body-parser deprecated undefined extended: provide extended option ..\node_modules\body-parser\index.js:105:29
morgan deprecated undefined format: specify a format connect.js:30:9
morgan deprecated default format: use combined format connect.js:30:9
listening...
undefined
::1 - fafa [Sun, 15 Apr 2018 16:48:14 GMT] "POST /?username=pppp HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

vhost():虛擬主機

  • vhost()(虛擬主機)中介軟體是一種通過請求頭Host路由請求的簡單、輕量的辦法
  • 這項任務通常是由反向代理完成的,可以把請求轉發到執行在不同埠上的本地伺服器那裡
  • vhost()元件在同一個Node程序中完成這一操作,它將控制權交給跟vhost例項關聯的Node HTTP伺服器
  • 可使子域名在Express中更容易管理。
  • 缺點:如果一個網站引發了崩潰,你的所有網站都會宕掉(因為它們都執行在同一個程序中)

session():會話管理

需要安裝 session-parser,且在cookie-parser前引入。

安全相關部分

basicAuth():HTTP基本認證

  • 基本認證是非常簡單的HTTP認證機制,並且在使用時應該小心,因為如果不是通過HTTPS進行認證,使用者憑證很可能會被攻擊者截獲

  • basicAuth()在最新的connect中已無法使用,且無法單獨使用,似乎只有Express中才能使用。

app.use(basicAuth(connect.basicAuth(auth)));
                          ^

TypeError: connect.basicAuth is not a function
    at Object.<anonymous> (F:\後臺開發\wechat\lib\connect.js:30:27)
    at Module._compile (module.js:652:30)
    at Object.Module._extensions..js (module.js:663:10)
    at Module.load (module.js:565:32)
    at tryModuleLoad (module.js:505:12)
    at Function.Module._load (module.js:497:3)
    at Function.Module.runMain (module.js:693:10)
    at startup (bootstrap_node.js:188:16)
    at bootstrap_node.js:609:3

csrf():跨站請求偽造防護

  • 跨站請求偽造(CSRF)利用站點對瀏覽器的信任漏洞進行攻擊
  • csrf()會生成一個包含24個字元的唯一ID,認證令牌,作為req.session._csrf附到使用者的會話上
  • 這個令牌會作為隱藏的輸入控制元件_csrf出現在表單中,CSRF在提交時會驗證這個令牌
>npm install csrf

使用:
為了確保csrf()可以訪問req.body._csrf(隱藏輸入控制元件的值)和req.session._csrf,你要確保csrf()新增在了bodyParser()和session()的下面

app.use(favicon(__dirname + '/timg.ico'));
// app.use(basicAuth(connect.basicAuth(auth)));
app.use(cookieParser('private-key'));
app.use(session({
    keys:['aaa','bbb','ccc'],
    maxAge:360000*24,
    name:'session'
}));
app.use(bodyParser());
//新增在bodyParser()和session()的下面
app.use(csrf());
app.use(morgan());

errorHandler():開發錯誤處理

  • 可以基於請求頭域Accept提供詳盡的HTML、JSON和普通文字錯誤響應
  • errorHandler()是要用在開發過程中的,不應該出現在生產環境中

安裝:

npm install errorhandler

example:

var connect = require('connect')
var errorhandler = require('errorhandler')

var app = connect()

if (process.env.NODE_ENV === 'development') {
  // only use in development 
  app.use(errorhandler())
}

static():靜態檔案服務

  • static()中介軟體實現了一個高效能的、靈活的、功能豐富的靜態檔案伺服器,支援HTTP快取機制、範圍請
  • 有對惡意路徑的安全檢查,預設不允許訪問隱藏檔案(檔名以.開頭),會拒絕有害的null位元組
  • static()本質上是一個非常安全的、完全能勝任的靜態檔案服務中介軟體,可以保證跟目前各種HTTP客戶端的相容
  • 假定你的程式遵循典型的場景,要返回./public目錄下的靜態資原始檔

compress():壓縮靜態檔案

directory():目錄列表

相關推薦

Node學習入門Connect中介軟體

本章內容 解析cookie、請求主體和查詢字串的中介軟體 實現Web程式核心功能的中介軟體 處理Web程式安全的中介軟體 提供靜態檔案服務的中介軟體 解析cookie、請求主體和查詢字串的中介軟體 常用

程式設計師的機器學習入門筆記推薦系統入門介紹

介紹 背景 隨著網際網路行業的井噴式發展,獲取資訊的方式越來越多,人們從主動獲取資訊逐漸變成了被動接受資訊,資訊量也在以幾何倍數式爆發增長。舉一個例子,PC時代用google reader,常常有上千條未讀部落格更新;如今的微信公眾號,也有大量的紅點未閱

Ansible入門Hadoop自動化安裝

Hadoop是一個由Apache基金會所開發的分散式系統基礎架構,主要用於儲存和計算。 Hadoop安裝包下載 到Hadoop官網下載對應版本的安裝包,本文以hadoop 2.7.5為例。 將下載好的hadoop-2.7.5.tar.gz上傳到/opt/ansible/

Linux驅動入門基本的字符設備模塊(2)

連接 truct ace alloc orm 負數 -s tabs idt   上一節中介紹了設備號的申請和釋放,這一節開始了解字符設備的相關操作。   首先定位到<linux/cdev.h>文件,查看內核提供給字符設備的接口。 cdev結構 str

Sping Boot入門到實戰之入門Spring Boot屬性配置

git 測試 add 禁用 rop fix ron org set   該篇為Sping Boot入門到實戰系列入門篇的第三篇。介紹Spring Boot的屬性配置。   傳統的Spring Web應用自定義屬性一般是通過添加一個demo.properties配置文件(

linux基礎基於Redhat7系統的系統日誌與延時任務

系統日誌 配置檔案: /etc/rsyslog.conf 系統日誌是記錄系統中硬體、軟體和系統問題的資訊,同時還可以監視系統中發生的事件。使用者可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。 常用日誌型別與日誌級別 型別 auth

USB學習筆記連載CY7C68013A 無法識別的可能原因(usb2.0)

https://www.cnblogs.com/raymon-tec/p/5333583.html 最近一直在除錯視訊 採集卡,和PC端連線的是USB介面,使用的是cypress的CY7C68013A-56PVXC。 //=================================

Unity Editor 基礎Property Attributes定義屬性

Property Attributes自定義屬性 目標:  1.瞭解一些基本的使用  2.自定義一個Property Attributes 最終效果: 準備: 大夥們還記得《Unity Editor 基礎篇(一):Build-In Attribute》裡所說的

JUC原始碼分析-集合PriorityBlockingQueue

PriorityBlockingQueue 是二叉堆結構的無界優先順序阻塞佇列,使用顯示鎖 Lock 保證執行緒安全,是一個執行緒安全的 PriorityQueue。元素的優先順序順序通過 Comparator 實現,內部不可新增不可比較的值。相較於我們前幾章所講的Queu

linux基礎基於Redhat7系統的系統日誌與定時任務

系統日誌 配置檔案: /etc/rsyslog.conf 系統日誌是記錄系統中硬體、軟體和系統問題的資訊,同時還可以監視系統中發生的事件。使用者可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。 常用日誌型別與日誌級別 型別 auth

Linux小小白入門教程vi文字編輯命令

以下操作在Linux終端進行。Linux因為許可權非常嚴格,所以暫時所有的命令操作全部是在/home資料夾下的/yangjw資料夾下進行。/yangjw資料夾就是登入使用者名稱所在的資料夾,出了此資料

安卓開發入門Android Studio匯入ApiDemos

引言 本人程式設計師,之前做網站比較多,nodejs/express+html/css+mysql,再之前也做過Java開發,程式設計上還是有豐富的經驗。 在持續的實戰中,發現想做產品的話,前端似乎更重要,因為前端才能看到產品形態。雖然說移動端形勢已經每況愈

Ansible入門ElasticSearch自動化安裝

ElasticSearch是一個基於Lucene的搜尋伺服器。它提供了一個分散式多使用者能力的全文搜尋引擎。 ElasticSearch安裝包下載 到ElasticSearch官網 對應版本的安裝包,本文以ElasticSearch 6.5.4為例。 將下載好

Ansible入門Spark自動化安裝

Spark是專為大規模資料處理而設計的快速通用的計算引擎,底層是基於Scala開發。 注:以下是基於Spark的Standalone模式自動化安裝 Spark安裝包下載 到 Spark官網下載對應安裝包,本文以Spark 2.2.0版本為例。 將下載好的&

Ansible入門Kafka自動化安裝

Kafka是一種高吞吐量的分散式釋出訂閱訊息系統,可作為中介軟體進行資料隔離、傳輸作用。 Kafka安裝包下載 到 Kafka官網下載對應版本的安裝包,本文以kafka 1.0.2為例。 將下載好的kafka_2.11-1.0.2.tgz上傳到/opt/ans

Ansible入門Zookeeper自動化安裝

ZooKeeper是一個分散式應用程式協調服務,是Hadoop、Kafka及Hbase等的重要元件。   Zookeeper安裝包下載 到Zookeeper官網下載對應版本的安裝包,本文以zookeeper 3.4.5為例。 將下載好的zookeeper-

Ansible入門Scala自動化安裝

Scala是Spark元件所依賴的環境,在自動化部署Spark前需要提前安裝好Scala。   Scala安裝包下載 到Scala官網下載對應版本的安裝包,本文以Scala 2.11.8為例 將下載好的scala-2.11.8.tgz上傳到/opt/ans

Ansible入門JDK自動化安裝

JDK是各個元件所依賴的基礎環境。 目錄結構如下,後文將不再展示 [[email protected] ansible]# tree /opt/ansible/ ├── bootstrap.yml ├── hosts ├── roles │   ├

Ansible入門SSH配置免密互信

Ansible是用來處理大批量重複性操作的工具,只需要在一臺機器上就可以遠端控制所有機器,但前提是必須保證每臺機器之間SSH可以相互免密登入。關於Ansible的安裝和環境準備請參考Ansible環境的準備。 注: 有關Ansible的所有操作只需在第一臺機器上修改和執行,其它機器只需知道I

Ansible入門環境的準備

在正式開始使用之前需要準備如下環境: ansible的線上安裝 安裝機器: 172.18.18.120 Centos版本: yum -y install ansible Ubuntu版本:sudo apt-get update     &nb