¿Cómo asegurar mi aplicación node.js / socket.io correctamente? [cerrado]

-1

Tengo varias aplicaciones en .NET. Ahora quiero que cada usuario pueda hablar dentro de su aplicación con otros usuarios de la misma aplicación. Por eso programé un node.js / socket.io-server. ¡Todo funciona bien en desarrollo!

Ahora considero algunos problemas de seguridad cuando mis aplicaciones se ejecutan en el comodín ssl ( *.mydomain.com ).

  1. Cómo proteger mi servidor web dentro de node.js (no se necesitan solicitudes GET / POST).
  2. Cómo asegurar el websocket.

Los docs of socket.io son muy pobres ya que no mencionan nada en v1.x.

    
pregunta webprogrammer 20.05.2015 - 10:58
fuente

1 respuesta

0

Según los comentarios que siguen a tu pregunta, hay dos elementos que puedes configurar para proteger mejor a tus usuarios.

Ajusta tu implementación de socket.io:

  1. Actualice su implementación de socket.io para usar 2.x.
  2. Utilice la configuración de 'socket.io # origins' para eliminar el comodín CORS predeterminado para cualquier dominio.
  3. Utilice sesiones autenticadas dentro de la conexión socket.io. Consulte "adaptador socket.io #" o la alternativa del módulo "session.socket.io".

Ajuste los encabezados de seguridad de sus sitios:

  1. Ejecute su sitio (si está disponible públicamente) a través de enlace para probar su implementación actual.
  2. Utilice las guías de OWASP para obtener más opciones con respecto a la protección de su sitio, como esta, con respecto al uso de los encabezados de seguridad más nuevos disponibles en los navegadores. enlace
respondido por el jas- 20.05.2015 - 13:52
fuente

Lea otras preguntas en las etiquetas