Angular安全專輯之四 —— 避免服務(wù)端可能的資源耗盡(NodeJS)

2年前作者：KenkoTech分類：Toy博客閱讀(60)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Angular安全專輯之四 —— 避免服務(wù)端可能的資源耗盡(NodeJS)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

Angular安全專輯之四 —— 避免服務(wù)端可能的資源耗盡(NodeJS),Angular,angular

express-rate-limit是一個(gè)簡(jiǎn)單實(shí)用的npm包,用于在Express應(yīng)用程序中實(shí)現(xiàn)速率限制。它可以幫助防止DDoS攻擊和暴力破解,同時(shí)還允許對(duì)API端點(diǎn)進(jìn)行流控。

express-rate-limit及其主要功能

express-rate-limit是Express框架的一個(gè)流行中間件,它允許根據(jù)IP地址或其他標(biāo)準(zhǔn)輕松地對(duì)請(qǐng)求進(jìn)行速率限制。主要功能包括:

基于IP地址實(shí)現(xiàn)速率限制

設(shè)置最大請(qǐng)求數(shù)和時(shí)間窗口

提供可定制的響應(yīng)如429 Too Many Requests

支持白名單IP地址

方便地集成到Express應(yīng)用中

express-rate-limit的使用

以下代碼是express-rate-limit的常見用法,包括基礎(chǔ)限制、路由限制、動(dòng)態(tài)限制、自定義key等

// 基礎(chǔ)用法
const rateLimit = require("express-rate-limit");

const limiter = rateLimit({
  windowMs: 1*60*1000, // 1 minute
  max: 5 
});

// 應(yīng)用到所有路由
app.use(limiter);
// 指定路由應(yīng)用限制
app.get("/api", limiter, (req, res) => {
  res.json({foo: "bar"}); 
});

// 設(shè)置多個(gè)限制器
const loginLimiter = rateLimit({
  windowMs: 15*60*1000, // 15 minutes 
  max: 3, 
  message: "Too many login attempts, please try again later"
});

app.post("/login", loginLimiter, (req, res) => {
  // login logic  
});

// 基于請(qǐng)求者IP的動(dòng)態(tài)限制
const limiter = rateLimit({
  windowMs: 15*60*1000, 
  max: function(req) {
    return req.user.vip ? 500 : 100; 
  },
  handler: function(req, res/*next*/) {
    res.status(429).send("Too Many Requests");    
  }  
});

// 自定義key獲取方式
const limiter = rateLimit({
  windowMs: 15*60*1000,
  max: 100,
  keyGenerator: function(req/*, res*/) {
    return req.user.id;
  }  
});

總結(jié):

express-rate-limit 是一個(gè)輕量實(shí)用的速率限制中間件,可以有效幫助Node.js應(yīng)用防止濫用。對(duì)API請(qǐng)求頻率進(jìn)行限制的場(chǎng)景,如防止爬蟲過度爬取、防止暴力破解密碼、避免頻繁調(diào)用支付接口等。非常適合對(duì)Express應(yīng)用的流量進(jìn)行管控。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-694497.html

到了這里，關(guān)于Angular安全專輯之四 —— 避免服務(wù)端可能的資源耗盡(NodeJS)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

據(jù)庫(kù)異常sql耗盡CPU資源
核心系統(tǒng)出現(xiàn)數(shù)據(jù)庫(kù)卡頓，嚴(yán)重影響前端業(yè)務(wù)響應(yīng)，節(jié)點(diǎn)一數(shù)據(jù)庫(kù)服務(wù)器CPU幾乎耗盡，多次重啟數(shù)據(jù)庫(kù)依然沒有效果，仔細(xì)診斷初步判定業(yè)務(wù)SQL執(zhí)行效率不佳所致，特別是SQL_ID為1hwgwzgw0vfrc的SQL，半小時(shí)內(nèi)執(zhí)行次數(shù)比平時(shí)多了2300多次。高并發(fā)下大量消耗系統(tǒng)資源特別是CPU幾乎
2024年02月21日
瀏覽(31)
CountDownLatch使用錯(cuò)誤+未最終斷開連接導(dǎo)致線程池資源耗盡
????????我設(shè)置了CountDownLatch對(duì)線程的協(xié)作做出了一些限制，但是我發(fā)現(xiàn)運(yùn)行一段時(shí)間以后便發(fā)現(xiàn)定時(shí)任務(wù)不運(yùn)行了。具體代碼：報(bào)錯(cuò)以后定時(shí)任務(wù)不運(yùn)行了? ?打印線程日志發(fā)現(xiàn)定時(shí)任務(wù)的線程在第86行代碼停著不動(dòng)了。正常的線程日志應(yīng)該是這樣的。查看第86行代碼，
2024年04月24日
瀏覽(17)
《WebKit 技術(shù)內(nèi)幕》之四（3）：資源加載和網(wǎng)絡(luò)棧
3. 網(wǎng)絡(luò)棧 3.1 WebKit的網(wǎng)絡(luò)設(shè)施 ? ? ? ? WebKit的資源加載其實(shí)是交由各個(gè)移植來(lái)實(shí)現(xiàn)的，所以WebCore其實(shí)并沒有什么特別的基礎(chǔ)設(shè)施，每個(gè)移植的網(wǎng)絡(luò)實(shí)現(xiàn)是非常不一樣的。 ? ? ? ? 從WebKit的代碼結(jié)構(gòu)中可以看出，網(wǎng)絡(luò)部分代碼的確比較少的，它們都在目錄“WebKit/Source/WebCore/
2024年01月20日
瀏覽(23)
報(bào)錯(cuò)：Error，關(guān)于運(yùn)行l(wèi)ocalhost://8080/一直提示：“源服務(wù)器未能找到目標(biāo)資源的表示或者是不愿公開一個(gè)已經(jīng)存在的資源表示。“的可能問題集合。
查看端口占用問題查看Tomcat的安裝問題及配置問題查看web.xml是否缺少配置查看網(wǎng)頁(yè)內(nèi)容引用路徑問題考慮是否權(quán)限問題改端口號(hào)，比如改成：8888 ↓【找到Tomcat安裝目錄→conf文件夾→server.xml（記事本打開）→找到Connect port→修改8080】（1）Tomcat計(jì)算機(jī)環(huán)境配置【在官網(wǎng)
2024年02月04日
瀏覽(39)
如何在linux服務(wù)器部署pgsql，安全版以及可能出現(xiàn)各種問題解決（保姆級(jí)教程）
提示：市面上那些在linux服務(wù)器部署pgsql好多都是水貨，效果良莠不齊，筆者花了兩天時(shí)間成功部署了pgsql，記錄下方便自己以后部署，也方便其他有需要的碼農(nóng) 服務(wù)器環(huán)境： postgresql版本堅(jiān)決不要通過鏡像下載，道路千萬(wàn)條，安全第一條，鏡像源不一定安全，自己老老實(shí)實(shí)去
2023年04月08日
瀏覽(17)
PHP編碼安全之四: URL跳轉(zhuǎn)安全(漏洞)
URL跳轉(zhuǎn)漏洞, 也叫開放重定向漏洞(open redirect)。如果處理不當(dāng)會(huì)導(dǎo)致用戶被重定向至釣魚或惡意網(wǎng)站。我們通常用白名單機(jī)制來(lái)處理，比如qq登錄等接口的回調(diào)頁(yè)面就要求做白名單限制。通常我們會(huì)判斷跳轉(zhuǎn)url中的域名或者路徑是否合法，但是問題往往就出現(xiàn)在這些判斷中。
2023年04月11日
瀏覽(13)
配置Nginx作為靜態(tài)資源服務(wù)器及安全策略
上一篇文章寫了Nginx負(fù)載均衡實(shí)現(xiàn)方案詳解，有同學(xué)私信我說能不能寫一篇關(guān)于nginx代理靜態(tài)資源的文章。當(dāng)然沒問題，這篇文章就分享一下如何配置Nginx作為靜態(tài)資源服務(wù)器同時(shí)也分享一些常用的安全策略配置。靜態(tài)資源指的是在服務(wù)器端存儲(chǔ)的不會(huì)變化的文件，這些文件的
2024年02月21日
瀏覽(26)
Android TextView動(dòng)態(tài)地加載資源文件，避免Native 層內(nèi)存泄漏或內(nèi)存溢出
在 Android 中，如果使用 TextView 的 setBackgroundResource() 方法設(shè)置背景，可能會(huì)導(dǎo)致 Native 層內(nèi)存增長(zhǎng)。這是因?yàn)?setBackgroundResource() 方法會(huì)將資源文件（例如圖片）加載到內(nèi)存中，如果頻繁地調(diào)用該方法，就會(huì)導(dǎo)致內(nèi)存泄漏或內(nèi)存溢出。為了避免這種問題，可以使用 TextView 的 s
2024年02月09日
瀏覽(23)
K8S應(yīng)用服務(wù)安全(最小特權(quán) 策略方案資源限制調(diào)用限制沙箱)
1.1.1 基礎(chǔ)知識(shí) 學(xué)習(xí)目標(biāo) 這一節(jié)，我們從場(chǎng)景解讀、細(xì)節(jié)解讀、小結(jié) 三個(gè)方面來(lái)學(xué)習(xí)。場(chǎng)景解讀應(yīng)用安全攻擊特點(diǎn)解讀方案思路細(xì)節(jié)解讀最小特權(quán)原則 linux最小化原則示例原則的重要性如何實(shí)施最小特權(quán)原則小結(jié) 1.1.2 安全上下文學(xué)習(xí)目標(biāo) 這一節(jié)，我們從基礎(chǔ)知識(shí)、
2024年02月13日
瀏覽(21)
nginx上web服務(wù)的基本安全優(yōu)化、服務(wù)性能優(yōu)化、訪問日志優(yōu)化、目錄資源優(yōu)化和防盜鏈配置簡(jiǎn)介
目錄一.基本安全優(yōu)化 1.隱藏nginx軟件版本信息 2.更改源碼來(lái)隱藏軟件名和版本（1）修改第一個(gè)文件（核心頭文件），在nginx安裝目錄下找到這個(gè)文件并修改（2）第二個(gè)文件（3）第三個(gè)文件，內(nèi)置響應(yīng)信息頁(yè)面（4）第四個(gè)文件（5）重新編譯安裝并重啟 3.更改nginx服務(wù)的默
2024年02月13日
瀏覽(19)