Websockets，socket.io，nodejs和安全

Question

我正在研究一個實時分析應用程序，並使用websockets（通過socket.io庫）和nodejs。不會有通過websockets發送的「敏感」數據（如姓名，地址等）。它僅用於跟蹤訪問量並跟蹤訪問者總數（以及訪問前10位訪問量最高的URL的訪問者數量）。

我應該知道哪些安全問題？我是否打開自己達到：

1. 拒絕服務攻擊？
2. XSS攻擊？
3. 可以用來訪問網絡服務器/網絡服務器LAN的其他安全漏洞？
4. 還有什麼我沒有在這裏提到？

謝謝！

Answer 1

1. DoS attacks?

您正在打開自己了對DoS攻擊，以及它們是否處理得當，幾乎可以做針對此類攻擊一無所獲。

2. XSS attacks?

如果不進行過濾，你很容易受到XSS攻擊。我相信你可以保護自己免受此使用的東西看起來像this：

/** 
* Escape the given string of `html`. 
* 
* @param {String} html 
* @return {String} 
* @api private 
*/ 

function escape(html){ 
    return String(html) 
    .replace(/&(?!\w+;)/g, '&') 
    .replace(/</g, '&lt;') 
    .replace(/>/g, '&gt;') 
    .replace(/"/g, '&quot;'); 
} 

3. Additional security holes that could be used to gain access to the 
webserver/webserver's LAN? 

你應該保護自己免受使用防火牆LAN攻擊？

4. Anything else I didn't mention here?

• 如果要發送敏感信息，你至少應該發過來的SSL。你也應該想出一些認證方案......
• 也許你可能會受到會話固定？