Node.js 輸入驗(yàn)證

1.1.1【必須】按類型進(jìn)行數(shù)據(jù)校驗(yàn)

• 所有程序外部輸入的參數(shù)值，應(yīng)進(jìn)行數(shù)據(jù)校驗(yàn)。校驗(yàn)內(nèi)容包括但不限于：數(shù)據(jù)長(zhǎng)度、數(shù)據(jù)范圍、數(shù)據(jù)類型與格式。校驗(yàn)不通過(guò)，應(yīng)拒絕。

// bad：未進(jìn)行輸入驗(yàn)證
Router.get("/vulxss", (req, res) => {
    const { txt } = req.query;
    res.set("Content-Type", "text/html");
    res.send({
        data: txt,
    });
});


// good：按數(shù)據(jù)類型，進(jìn)行輸入驗(yàn)證
const Router = require("express").Router();
const validator = require("validator");


Router.get("/email_with_validator", (req, res) => {
    const txt = req.query.txt || "";
    if (validator.isEmail(txt)) {
        res.send({
            data: txt,
        });
    } else {
        res.send({ err: 1 });
    }
});

關(guān)聯(lián)漏洞：縱深防護(hù)措施 - 安全性增強(qiáng)特性