• 文库
  • 字符
  • 转换
  • 加密
  • 网络
  • 更多
    图表
    数学
    坐标
    图片
    文件
  • 文库
    字符
    转换
    加密
    网络
    更多
    图表
    数学
    坐标
    图片
    文件
logo 在线工具大全

如何预防NodeJS命令注入

出处: mp.weixin.qq.com 作者: Rien

Node.js和npm为前端生态中提供了统一的开发语言、强大的包管理和模块生态系统、灵活的构建工具和任务自动化、以及丰富的前端框架和库等等。 可以说,正是因为nodejs带来的这些工具和资源使前端开发更加高效、便捷,并推动了前端技术的快速发展。 但是近年来,Node.js 生态系统中的 npm 软件包中出现了许多 CVE("Common Vulnerabilities and Exposures" 常见漏洞和公开漏洞),譬如lodash库的CVE漏洞——CVE-2018-16487[2]、express库的CVE漏洞——CVE-2018-17346[3]以及jsonwebtoken库的CVE漏洞——CVE-2018-12424[4]等等,在这其中有一个特别危险且屡禁不止的漏洞就是命令注入(Command Injection)。 作为前端工程师而言,在我们日常工作中,不仅需要快速交付、优化性能相关,还要时刻对项目中所采用的nodejs技术栈及其安全相关的因素考虑在内。 简而言之,关于安全这根弦儿得时刻紧绷着!

查看原文 27 技术 lddgo 分享于 2023-12-21