Безопасен ли стек javascript конца 2 конца?

Question

Я хочу создать многопользовательское облачное приложение.Мой стек - javascript / json end-2-end: пользователь вводит данные в браузер, который jquery превращается в json, отправляет на мой сервер node.js, который, в свою очередь, сохраняет их как json в couchdb.При получении данных JSON идет наоборот.Если пользователь вводит что-то этому json, есть ли где-нибудь в указанном выше стеке этот json на самом деле?Если да, мне нужно продезинфицировать.Насколько надежна очистка JSON?Или песочница поможет?насколько это надежно?

Это многопользовательская среда, и там будет много секретных данных пользователей и компаний.

Answer 1

Посмотрите на Caja или Node-validator

• Caja является реализацией Google Caja sanitizer
• Node-validator является узломвалидатор / дезинфицирующее средство, здесь экспресс-оболочка для валидатора узлов

Удачи

Answer 2

Я предлагаю углубленную защиту (т. Е. Несколько перекрывающихся механизмов безопасности. Ричард и Паша оба делают отличные предложения.

Что еще нужно сделать, это использовать Проверка данных CouchDB функции. Вы пишетефункция validate_doc_update в Javascript. Эта функция будет выполняться для каждого изменения базы данных. Функция может решить, являются ли данные приемлемыми или нет.

Проверка выполняется глубоко, в CouchDBсам сервер. Поэтому, если у вас есть хорошая функция проверки, невозможно хранить плохие данные вообще.

Answer 3

Node.js использует JSON.parse для оценки данных JSON.JSON.parse использует строгий синтаксис JSON, который не позволяет объявлять функции в строке данных.Это также означает, что ключи данных должны быть строками в двойных кавычках, а значения могут быть только Boolean, Number, String, Array или Object.