我有一個使用快速框架的nodejs web應用程序,它可以通過互聯網到達。 我正在使用將會話存儲爲磁盤上的純文件的會話存儲,並且對於當前實現,每個沒有cookie的請求都將獲得新的會話ID,從而導致新會話磁盤上的新文件。如何防止node.js應用程序中的會話溢出?
由於應用程序是通過互聯網訪問,我收到很多無效的請求,這當然從來沒有在我的文件系統,這是一個真正的混亂髮送cookie,但產生更多的會話。
我使用OWASP會話管理備忘單作爲實施指南(https://www.owasp.org/index.php/Session_Management_Cheat_Sheet),但未包括訪客會話的詳細主題。它只說明應用程序可能會發現將會話也分配給未經身份驗證的(來賓)用戶很有用,因此訪客會話似乎總體上是有效的功能。
所以現在我不知道如何正確地解決無效/惡意請求造成的不必要的會話/會話文件問題。有沒有推薦的方法來做到這一點?
我想也許是一個非常短的'客人'會話到期(< 5分鐘)和IP範圍的白名單或某事的組合,其中任何IP不在白名單中都不會收到訪客會話(當然,但當然會話一旦成功認證)。
關於我該如何解決這個問題的任何提示?
爲什麼你認爲在純文件中創建和存儲會話是安全的方式?會話最好存儲在標有過期日期的內存/緩存服務器中。此外,如果您收到很多無效請求,請嘗試限制IP或者甚至禁止某些IP。無論哪種方式,我相信你正在推翻它,並增加許多預防措施,使你的應用程序無法維護。嘗試使用像頭盔這樣的模塊並閱讀有關確保快速應用的文章 – Gntem