Является ли socket.emit () безопасным и надежным способом передачи информации на сервер?

Question

Я работаю над приложением, которое использует socket.io, express - js, node-js и реагирует- js. После прочтения this я определенно хочу оставаться максимально безопасным, имея в виду наилучшую производительность. Я рассматривал возможность использования socket.io для отправки информации (данные для входа) на сервер с клиента с помощью socket.emit. Основная проблема заключается в том, смогут ли эти детали быть обнаруженными (увиденными) внешней (третьей) стороной. И не только это, но и то, что если этот метод плохая идея, то что было бы лучшим выбором для обеспечения безопасности и поддержания наименьшего количества серверной работы (загрузка сервера). Также безопасны ли куки (express -сессионные куки) при использовании HTTPS? (ПРИМЕЧАНИЕ каждый вопрос относится к внедряемому HTTPS). Спасибо за помощь.

Answer 1

Вам необходимо выполнить проверку на стороне сервера для любого пользовательского ввода, такого как имя пользователя, пароль и т. Д. c. HTTPS позаботится о любой атаке «человек посередине» (MITM) (просто убедитесь, что вы используете последнюю версию SSL / TLS). Эти атаки нюхают трудно, человек должен быть в вашей сети. Для обеспечения безопасности файлов cookie используйте флаги «Только HTTP» и «Безопасный» cook ie. Подробнее о проверке данных вы можете прочитать здесь - https://www.owasp.org/index.php/Data_Validation. Для получения дополнительной информации о cook ie flags - https://resources.infosecinstitute.com/securing-cookies-httponly-secure-flags/

Еще одна вещь - убедитесь, что вы используете параметризованные запросы для любой транзакции базы данных через ваш код, чтобы избежать SQL Injection.

Надеюсь, это поможет.