我正在制作一个基于玩家能够邀请其他玩家参加聚会的网页,以及其他很长时间的网页。
我在你的派对中有你的聊天/用户的基本发送/接收/更新。唯一的问题是,阻止某人坐在那里打开开发者控制台并进行
socket.emit('updateUsers', 'Weiner');
socket.emit('updateUsers', 'Idiot');
socket.emit('updateUsers', 'Bad word');
socket.emit('updateUsers', 'Other stupid malicious really long spam the chat name');
我如何防止这种情况发生,以致他们不能做这些事情?
(Full JS Stack,Node.js) 谢谢!
答案 0 :(得分:3)
我也面临这个问题,这是我的解决方案,就垃圾邮件发出去(恶意套接字使用)..
var spamData = new Object();
var spamCheckFunctions = ["updateUsers","moreEmits"]; // anti-spam will check these socket emits
var antiSpam = 3000; // anti spam check per milliseconds
var antiSpamRemove = 3; // -spam points per antiSpam check
var maxSpam = 9; // Max spam points before disconnect is thrown to the socket
io.sockets.on('connection', function (socket) {
// Spam Check, this binds to all emits
var emit = socket.emit;
socket.emit = function() {
data = Array.prototype.slice.call(arguments);
if(spamCheckFunctions.contains(data[0])){
addSpam(socket);
};
emit.apply(socket, arguments);
};
var $emit = socket.$emit;
socket.$emit = function() {
data = Array.prototype.slice.call(arguments);
if(spamCheckFunctions.contains(data[0])){
addSpam(socket);
}
$emit.apply(socket, arguments);
};
});
function maxSpamCheck(socket){
if(spamData[socket.username].spamScore>=maxSpam && !socket.spamViolated){
socket.spamViolated = true;
socket.disconnect();
}
}
function checkSpam(){
for(user in spamData){
if(spamData[user].spamScore>=1) spamData[user].spamScore-=antiSpamRemove;
}
return;
}
setInterval(checkSpam,antiSpam);
function addSpam(socket){
if(socket.spamViolated) return;
spamData[socket.username].spamScore+=1;
maxSpamCheck(socket);
}
// Then add this where your user is authenticated
function authenticate(socket){
socket.username = username // here you define username
socket.spamViolated = false;
spamData[socket.username] = {
spamScore: 0
}
}
Array.prototype.contains = function(k) {
for(var p in this)
if(this[p] === k)
return true;
return false;
};
基本绑定到所有发出并检查发件名是否包含在spamCheckFunctions中,如果它是否会添加垃圾点,如果用户超过垃圾邮件分数(maxSpam);他将被断开连接。并且antiSpam定义的每毫秒将减去在antiSpamRemove定义的用户垃圾邮件分数
我确信有更清洁的解决方案,但这个对我来说非常好:)
只需确保验证/验证用户。
这是我对它们进行身份验证的方式(不使用nodejs作为网络服务器,而是使用django):
io.configure(function(){
io.set('authorization', function(data, accept){
if(data.headers.cookie){
data.cookie = cookie_reader.parse(data.headers.cookie);
return accept(null, true);
}
return accept('error', false);
});
});
现在您可以访问socket.handshake.cookie['sessionid'](在我的情况下,这与django一起使用)
然后将socket.handshake.cookie['sessionid']与您的会话存储在网络服务器上的条目匹配
答案 1 :(得分:1)
总的来说,这是一个难题。你可以做两件事:
1)在客户端使用自我调用功能,即
(function(w) {
// define your sockets here
var socket = ...;
})(window);
显然它是在客户端,所以这不是很安全。但是有这样的墙也不错。
2)在服务器端跟踪发布频率。例如,如果某人在一秒钟内发布了5次,那么您可以认为它是垃圾邮件,您可以阻止该套接字。如果与身份验证和复杂注册相结合,则会特别有效(因此人们在创建新帐户时会遇到问题)。
答案 2 :(得分:0)
使用md5 / sha键,其行为类似于cookie。
为特定用户生成密钥并将其发送到客户端,并始终检查传入请求是否具有相同的密钥
它不会完全安全,因为黑客可以随时在源代码或localStorage中找到您的密钥,但试图通过模糊代码隐藏它
答案 3 :(得分:0)
防止垃圾邮件的一种方法是实现用户身份验证和/或数据包速率限制器。添加一个中间件函数,用于跟踪socketId和通过该套接字发送的数据包的数量。超过限制时,请断开插座。
您甚至可以添加一个额外的功能来跟踪该套接字的IP地址,如果IP地址过于频繁地断开连接,则可以禁止该IP。在连接事件上添加一个允许IP地址的检查。
答案 4 :(得分:0)
使用rate-limiter-flexible包来限制每秒的事件数。 IP限制是最简单的方法,但如果可能的话最好用userId限制。
const app = require('http').createServer();
const io = require('socket.io')(app);
const { RateLimiterMemory } = require('rate-limiter-flexible');
app.listen(3000);
const rateLimiter = new RateLimiterMemory(
{
points: 5, // 5 points
duration: 1, // per second
});
io.on('connection', (socket) => {
socket.on('bcast', async (data) => {
try {
await rateLimiter.consume(socket.handshake.address); // consume 1 point per event from IP
socket.emit('news', { 'data': data });
socket.broadcast.emit('news', { 'data': data });
} catch(rejRes) {
// no available points to consume
// emit error or warning message
socket.emit('blocked', { 'retry-ms': rejRes.msBeforeNext });
}
});
});
在official docs中阅读更多内容