我用插座做了一个简单的聊天室.如何防止XSS攻击?
I made a simple chat room with sockets.io, how do I prevent XSS attacks?
正如标题所说,我用套接字制作了一个简单的聊天室。唯一的问题是,我没有xss保护,而我的伙伴们一直把无限循环作为用户名,所以你可以想象这会变得多么棘手。这是我的app.js
/**
* Module dependencies.
*/
var express = require('express')
, routes = require('./routes')
, user = require('./routes/user')
, http = require('http')
, path = require('path');
var app = express();
// all environments
app.set('port', process.env.PORT || 3000);
app.set('views', __dirname + '/views');
app.set('view engine', 'jade');
app.use(express.favicon());
app.use(express.logger('dev'));
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(app.router);
app.use(express.static(path.join(__dirname, 'public')));
// development only
if ('development' == app.get('env')) {
app.use(express.errorHandler());
}
app.get('/', routes.index);
app.get('/users', user.list);
var server = http.createServer(app).listen(app.get('port'), function(){
console.log('Express server listening on port ' + app.get('port'));
});
var io = require('socket.io').listen(server);
var usernames = {};
io.sockets.on('connection', function (socket) {
// When the client emits 'sendchat' this listens and executes
socket.on('sendchat', function(data) {
io.sockets.emit('updatechat', socket.username, data);
});
// When the client emites 'adduser' this listens and executes
socket.on('adduser', function(username) {
// Store the username in the socket session for this client
socket.username = username;
// add the client's username to the global list
usernames[username] = username;
// echo to the client they've connected
socket.emit('updatechat', 'SERVER', 'you have connected');
// echo globally (all clients) that a person has connected
socket.broadcast.emit('updatechat', 'SERVER', username + ' has connected');
// update the list of users in chat, client-side
io.sockets.emit('updateusers', usernames);
});
socket.on('disconnect', function() {
// remove the username from global usernames list
delete usernames[socket.username];
// update list of users in chat, client-side
io.sockets.emit('updateusers', usernames);
// echo globally that the client has left
socket.broadcast.emit('updatechat', 'SERVER', socket.username + ' has disconnected');
});
});
我如何清理他们的输入来防止这种事情,我试着谷歌XSS保护预防,清理html输入,和其他东西,但我什么也找不到!
客户机代码:socket.on('updatechat', function(username, data) {
$('#conversation').append('<b>'+username+ ':</b>' + data.replace() + '<br>');
});
正如我在评论中提到的,不要从服务器发送整个消息。你在浪费带宽,并且把你的表示层和你的服务器混在一起,这将使以后的事情变得非常麻烦。
用用户名发送一些更有用的东西,比如userDisconnected,而不是这个updatechat。让客户端代码显示客户端已断开连接的消息。
现在,为您的客户端做这样的事情:
socket.on('userDisconnected', function(username, data) {
$('#conversation').append(
$('<span>').addClass('serverMessage').text(username + ' has disconnected'),
);
});
这里的关键是您使用$.text()来设置innerText。
相关文章:
- 滚动条在聊天室中不起作用
- 如何使用socket IO检查有多少参与者连接到我的聊天室
- 向聊天室发送消息 socket.io 节点.js
- 从特定行加载聊天室.html文档
- 如何为动态聊天室配置高速公路(crossbar.io)
- 聊天室的可靠计时器
- 即时消息,聊天室 - 用于 LAMP
- 如何设置离线环境来测试我的 Google App Engine 聊天室
- 如何在 Firechat 中创建聊天室
- 在创建jquery+PHP+MySQL聊天室时遇到问题
- 如何完成滚动聊天室的制作
- 如何加快jquery/php/ajax聊天室的速度
- 用于聊天室的AJAX, jQuery, javascript
- 节点聊天室,存储消息在数组或只是redis
- 我用插座做了一个简单的聊天室.如何防止XSS攻击?
- 使用Memcache构建PHP/Javascript聊天室
- 隐藏聊天室脚本,直到单击按钮
- 对一些Javascript聊天室代码进行逆向工程
- Angular聊天室Web应用程序
- 用图片代替文字聊天室
