1. ホーム
  2. 質問と答え
  3. nodejsから返信するpemファイルを防ぐ

nodejsから返信するpemファイルを防ぐ

2016-04-19 8 views
0

nodejが秘密のpemファイルを世界に返さないようにしたい。 Expressを使用して、私は nodejsから返信するpemファイルを防ぐ

app.use(express.static('html'), function (req, res, next) 
{ 
    var pathname = parseurl(req).pathname 
    if (pathname.indexOf('.pem') >= 0) 
    res.status(403).send('<h1>403 Forbidden</h1>') 
    else 
    next() 
});

を持っていますが、私はまだ私はあなたがあなたの.PEMを移動することを示唆している

出典

2016-04-19 user1709076

答えて

1

(セキュリティ上の私にとっての関心事である)私のウェブサイトからの.pemファイルをダウンロードすることができています(と任意の他の機密ファイル)を、ノード/エクスプレスが提供するコンテンツであると考えるどの経路からも完全に排除します。

サンプルコードが動作しても、現在または将来のノード/エクスプレスエクスプロイトに対して脆弱です。

あなたの秘密を守るロックオン車のドアに相当するものは望ましくありません;-)

出典

2016-04-19 16:01:25 GojiraDeMonstah

+0

意味があります。私が.pemファイルを1つのディレクトリ(htmlディレクトリの外)に移動すると、javascriptでvar path_to_pem = '../mypem.pem'と言ってアクセスできるはずです。 – user1709076

+0

あなたのjavascriptで言うとき、あなたはノードまたはクライアント側のサーバー側を意味するのですか?クライアント側が機密ファイルにアクセスできるようにしたいとは思っていません。しかし、サーバー側では、ええ、RWにアクセスできるディレクトリに置くことができます。 – GojiraDeMonstah

+0

ええ、私は/ api/pushのエンドポイントを作成します(これはpublic ... imはまだそれをどう扱うか考えていますが).pemはHTMLの提供コンテンツにはありません – user1709076

関連する問題

 関連する問題