ソケットハイジャック
残念ながら、クロスサイトリクエストフォージェリ攻撃はHTTPプロトコルに限定されません。WebSocketハイジャック(時にはCSWSHとして知られています)は、ほとんどのリアルタイムアプリケーションで見過ごされがちな脆弱性です。幸いなことに、SailsはHTTPリクエストとWebSocketリクエストの両方を同等に扱うため、組み込みのCSRF保護と設定可能なCORSルールセットは両方のプロトコルに適用されます。
config/security.jsで組み込みの保護を有効にし、関連するすべての着信ソケットリクエストに_csrfトークンが送信されるようにすることで、SailsアプリケーションをCSWSH攻撃から保護することができます。さらに、ソケットがクロスオリジン(つまり、異なるドメイン、サブドメイン、またはポート)からSailsアプリケーションに接続することを許可する予定がある場合は、それに応じてCORS設定を構成する必要があります。また、config/sockets.jsでauthorization設定をカスタム関数として定義することで、ニーズに基づいて最初のソケット接続を許可または拒否することもできます。
注記
- CSWSH対策は、ユーザーが同じクライアントアプリケーションを使用して複数のWebサービスにソケットを接続する場合にのみ懸念事項となります(例:Google ChromeなどのブラウザーのCookieを使用して、Chase.comとHorrible-Hacker-Site.comの両方からChase.comにソケットを接続できます)。
sailsjs.comでより良いエクスペリエンスを得るには、ブラウザをアップデートしてください。
概念
愛情を込めて制作
Sailsフレームワークは、貢献者の皆様のご協力のもと、テキサス州オースティンにあるウェブ&モバイル開発会社によって開発されました。2012年にNode.jsプロジェクトを支援するためにSailsを開発し、オープンソース化しました。皆様のお役に立てれば幸いです!
© 2012-2024 The Sails Company。
Sailsフレームワークは、MITライセンスの下で無料でオープンソースとして提供されています。
イラストレーション:Edamame。