Где найти информацию о том как правильно защитить сервер node.js от замены данных от клиента?

Question

[Loman1989]

Где найти информацию о том как правильно защитить сервер node.js от замены данных от клиента ?

Есть ли такие книги или как вбить в поисковике чтобы найти именно то что мне нужно ?

Answer 1

[Антон Кучеров]

Данные от клиента нужно просто всегда строго валидировать и фильтровать. Правило простое, никогда не доверять клиенту. В любой система типа клиент-сервер всегда неизвестно, кто находится на другом конце провода. Не нужно защищать сервер от замены данных клиента. Серверу должно быть пофигу реальный там клиент или поддельный, он в любом случае должен отдавать только то что у него попросили и не должен обрабатывать некорректные запросы.

Comments

[Loman1989]

Ну вот допустим есть форма я только то что приходит из этой формы валидирую, а в nodejs допустим только запросы которые реально существют на сервере ?

[Антон Кучеров]

Есть node.js сервер. У сервера есть API endpoint (Например `/user/create`). Ваша форма посылает серверу HTTP запрос с набором параметров. Сервер принимает этот запрос и производит его валидацию. Если данные которые прислал клиент (серверу не важно кто он) соответствуют правилам описаным на сервере, сервер выполняет какие то действия и отдает ответ. Если нет, сервер отдает ошибку (Грубо говоря говорит, нет дружище, я таких параметров не знаю и данные такие не приму). Именно сервер является источником правды, форма является всего лишь интерфейсом. Сервер не должен знать о вашей форме ровным счетом ничего ничего. Это форма подстраивается под сервер а не сервер под форму.

Защита сводится к тому, чтобы проверить правильные ли данные клиент вам отправил. В том ли они формате, соответствуют ли они тем данным которые клиент имеет право вам посылать и т.п.

[Loman1989]

Антон Кучеров, А вот немного почитал я тут и еще про какие то SQL иньекции нашел. Они только в реляционных БД могут присутствовать? Насколько я понял обрабатываем только те запросы которые нужны серверу ну и валидируем фильтруем жестко что клиент передает. Если параметров больше то тогда как быть ?

Answer 2

[uiworks]

что вы под этим подразумеваете? пример ситуации

Comments

[Loman1989]

Например куки, логин, пароль, картинки. Все что связано с безопасностью в вебе на на сервере.

Answer 3

[Пума Тайланд]

Проверяйте все данные на стороне сервера