如何清理物理地址（在 Node 中......以防止黑客攻击）？

Question

我有一个 Node 应用程序，它收集用户的地址并将其发送到 Yahoo PlaceFinder api（返回用户的地理位置）。

用户应填写“地址”字段并单击“提交”。

许多不同的地址格式都是可接受的，例如：

• 90210（仅邮政编码）
• 123 fake street，beverly hills，CA 90210
• 123 fake street，90210
• ...等

我不关心用户是否输入有效地址。我什至不想考虑为此需要什么正则表达式。

我担心安全问题。

在使用我的 Node 应用程序 - 对 YahooPlace finder api 的 http.get() 请求处理用户的输入之前，我应该采取哪些步骤（如果有）来清理用户的输入？

Answer 1

让我给出一个相当务实的答案，超越通常的“根据可接受值白名单清理不受信任的数据”响应。当您说“收集用户的地址”时，您实际上是：

1. 将其传递到数据库等您可能担心注入攻击的位置
2. 将其渲染到您可能担心 XSS 攻击的页面

如果您是只需获取输入并将其传递给雅虎，那么问题就更多是他们的而不是你的，因为你没有将自己暴露于上述任何一种攻击向量。您可能会发现，如果是这种情况，那么沿着清理路径走下去就没有太多意义，这对于像自由格式地址这样可变的东西来说不可避免地会非常困难。

Answer 2

我敢说最简单的方法是对他们的输入应用正则表达式，只允许字母数字字符，也许还有逗号和句点。我不确定这是否允许所有有效地址通过，但如果失败，您可以显示一条错误消息，其效果是“仅使用 [A-z0-9,.]”

，理论上，这应该可以缓解大多数类型的问题您会看到的漏洞利用，因为它们很可能需要某种形式的控制字符来破坏您的代码。除非出现某种溢出，我很确定考虑到您的情况，逗号和句点相对无害。