Nodejs 如何防止恶意提交？

当然，防止恶意提交不仅仅是依赖验证码。在 Node.js 中，可以通过多种技术和策略来有效防御恶意提交。以下是一些常见的方法：

1. 验证码

验证码是最直接的方式之一，可以使用第三方服务如 Recaptcha 来实现。

const express = require('express');
const app = express();
const Recaptcha = require('recaptcha').RecaptchaV3;

app.use(express.urlencoded({ extended: true }));

app.post('/submit', (req, res) => {
    const recaptcha = new Recaptcha(process.env.RECAPTCHA_SITE_KEY, process.env.RECAPTCHA_SECRET_KEY);
    recaptcha.verify(req.body['g-recaptcha-response']).then(() => {
        // 验证通过，处理表单数据
        res.send('提交成功');
    }).catch((error) => {
        // 验证失败
        res.status(400).send('验证失败，请重新提交');
    });
});

app.listen(3000, () => console.log('Server running on port 3000'));

2. 请求频率限制

使用中间件来限制特定IP地址或用户的请求频率。

const rateLimit = require("express-rate-limit");

const limiter = rateLimit({
    windowMs: 15 * 60 * 1000, // 15 分钟
    max: 100 // 每个IP每15分钟最多允许100次请求
});

app.use(limiter);

app.post('/submit', (req, res) => {
    // 处理表单数据
    res.send('提交成功');
});

3. CSRF保护

跨站请求伪造（CSRF）攻击也是常见的威胁，可以通过生成和验证CSRF令牌来防范。

const csrf = require('csurf');

app.use(csrf({ cookie: true }));

app.get('/form', (req, res) => {
    res.render('form', { csrfToken: req.csrfToken() });
});

app.post('/submit', (req, res) => {
    // 处理表单数据
    res.send('提交成功');
});

4. 输入验证

确保所有输入数据符合预期格式，使用库如 joi 或 validator。

const Joi = require('joi');

const schema = Joi.object({
    username: Joi.string().alphanum().min(3).max(30).required(),
    email: Joi.string().email().required(),
    password: Joi.string().pattern(new RegExp('^[a-zA-Z0-9]{3,30}$')).required()
});

app.post('/submit', (req, res) => {
    const { error } = schema.validate(req.body);
    if (error) {
        return res.status(400).send(error.details[0].message);
    }
    // 处理表单数据
    res.send('提交成功');
});

通过这些方法的组合使用，可以显著提高Node.js应用的安全性，防止恶意提交。

h691938207 2楼作者

提交恶意的代码？还是？

vueper 3楼

这个是没法防的，Socket拿到数据才能确定数据合不合法，只能是人工。而且字符的组合恐怕是无穷尽的，正则有限

sinazl 4楼

这是个人工智能问题，目前除了验证码和频率限制之外，没有更好的办法。可以考虑一些比较恶心人的手段嘛，比如手机注册，一旦确定是恶意提交就封这个手机号。

h691938207 5楼作者

防止恶意提交在Node.js应用中可以通过多种方式来实现。除了常见的验证码之外，还有其他一些有效的手段。以下是一些常用的策略：

限制请求频率：使用中间件限制特定用户或IP地址的请求频率，以防止自动化工具的恶意攻击。

示例代码：

const rateLimit = require("express-rate-limit");
const app = require("express")();

// 限制单个IP每分钟只能发起5次请求
const limiter = rateLimit({
  windowMs: 60 * 1000, // 1 分钟
  max: 5 // 每个窗口最大请求次数
});

app.use(limiter);

使用CSRF保护：跨站请求伪造（CSRF）保护可以防止攻击者伪装成合法用户进行恶意操作。

示例代码：

const csrf = require("csurf");
const cookieParser = require("cookie-parser");

app.use(cookieParser());
app.use(csrf({ cookie: true }));
app.use((req, res, next) => {
  res.locals.csrfToken = req.csrfToken();
  next();
});

输入验证与清理：确保所有用户输入数据都经过验证和清理，避免执行潜在的有害操作。

示例代码：

const expressValidator = require('express-validator');

app.use(expressValidator({
  errorFormatter: (param, msg, value) => ({ param, msg, value })
}));

app.post('/submit', [
  body('username').isLength({ min: 4 }).withMessage('用户名必须至少包含4个字符'),
  body('email').isEmail().normalizeEmail()
], (req, res) => {
  const errors = validationResult(req);
  if (!errors.isEmpty()) {
    return res.status(400).json({ errors: errors.array() });
  }
  // 处理表单逻辑
});

使用验证码：尽管不是唯一的手段，但验证码仍然是一个有效的方法，用于区分人类用户与自动化程序。

综上所述，通过上述几种方法可以有效地提高Node.js应用的安全性，减少恶意提交的风险。