Express参考手册
高级主题 | Advanced topics
3.安全更新 | 3. Security updates
Node.js漏洞直接影响Express。因此,请留意Node.js漏洞并确保您使用的是最新的稳定版本的Node.js。
以下列表列举了指定版本更新中修复的Express漏洞。
注意:如果您认为您发现了Express中的安全漏洞,请参阅安全策略和过程。
4.x
- 4.16.0
- 依赖项
forwarded
已更新以解决漏洞。这可能会影响您的应用程序是否使用了下列API: ,req.host
,req.hostname
,req.ip
,。req.ipsreq.protocol
- 依赖项
mime
已更新以解决漏洞,但此问题不会影响Express。 - 依赖项
send
已更新,以提供针对Node.js 8.5.0漏洞的保护。这仅影响在特定Node.js 8.5.0版上运行Express。
- 依赖项
- 4.15.5
- 依赖项
debug
已更新以解决漏洞,但此问题不会影响Express。 - 依赖项
fresh
已更新以解决漏洞。这会影响你的应用程序是否使用了下列API: ,express.static
,req.fresh
,res.json
,res.jsonp
,res.send
,。res.sendfile
res.sendFileres.sendStatus
- 依赖项
- 4.15.3
- 依赖项
ms
已更新以解决漏洞。如果不受信任的字符串输入被传递到这可能会影响你的应用程序maxAge
中以下API选项:express.static
,res.sendfile
,和res.sendFile
。
- 依赖项
- 4.15.2
- 依赖项
qs
已更新以解决漏洞,但此问题不会影响Express。更新到4.15.2是一种很好的做法,但不是解决此漏洞所必需的。
- 依赖项
- 4.11.1
- 固定根路径泄露漏洞
express.static
,res.sendfile
以及res.sendFile
- 固定根路径泄露漏洞
- 4.10.7
- 修复了
express.static
(Advisory,CVE-2015-1164)中的开放式重定向漏洞。
- 修复了
- 4.8.8
- 修复了
express.static
(advisory,CVE-2014-6394)中的目录遍历漏洞。
- 修复了
- 4.8.4
- Node.js 0.10
fd
在某些情况下会泄漏s,express.static
并影响和res.sendfile
。恶意请求可能导致fd
s泄漏并最终导致EMFILE
错误和服务器无响应。
- Node.js 0.10
- 4.8.0
- 在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并使服务器崩溃。
- 极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。
3.x
Express 3.x不再维护
自上次更新(2015年8月1日)以来,尚未解决3.x中已知和未知的安全问题。使用3.x行不应该被认为是安全的。
- 3.19.1
- 固定根路径泄露漏洞
express.static
,res.sendfile
以及res.sendFile
- 固定根路径泄露漏洞
- 3.19.0
- 修复了
express.static
(Advisory,CVE-2015-1164)中的开放式重定向漏洞。
- 修复了
- 3.16.10
- 修复了目录遍历漏洞
express.static
。
- 修复了目录遍历漏洞
- 3.16.6
- Node.js 0.10
fd
在某些情况下会泄漏,express.static
并影响和res.sendfile
。恶意请求可能导致fd
s泄漏并最终导致EMFILE
错误和服务器无响应。
- Node.js 0.10
- 3.16.0
- 在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并导致服务器崩溃。
- 极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。
- 3.3.0
- 不支持的方法覆盖尝试的404响应容易受到跨站脚本攻击的影响。
高级主题 | Advanced topics相关
Express 是一个简洁而灵活的 node.js Web 应用框架, 提供一系列强大特性帮助你创建各种 Web 应用。Express 不对 node.js 已有的特性进行二次抽象,只是在它之上扩展了 Web 应用所需的功能。丰富的 HTTP 工具以及来自 Connect 框架的中间件随取随用,创建强健、友好的 API 变得快速又简单。
主页 | http://expressjs.com/ |
源码 | https://github.com/strongloop/express/ |
发布版本 | 4.16.1 |