Package Health Score

75 / 100

security
No known security issues
popularity
Recognized
maintenance
Healthy
community
Sustainable

Explore Similar Packages

Security

No known security issues

All security vulnerabilities belong to production dependencies of direct and indirect packages.

Security and license risk for significant versions

Version				Vulnerabilities	License Risk
3.2.0	\|	01/2024		0 C 0 H 0 M 0 L	0 H 0 M 0 L
3.1.0	\|	08/2023		0 C 0 H 0 M 0 L	0 H 0 M 0 L
2.11.0	\|	07/2022	Popular	0 C 0 H 0 M 0 L	0 H 0 M 0 L
1.14.0	\|	08/2019		0 C 0 H 0 M 0 L	0 H 0 M 0 L
1.13.2	\|	07/2018		0 C 0 H 0 M 0 L	0 H 0 M 0 L

License

MIT

Security Policy

Is your project affected by vulnerabilities?

Scan your projects for vulnerabilities. Fix quickly with automated fixes. Get started with Snyk for free.

Get started free

Popularity

Recognized

Weekly Downloads (22,267)

GitHub Stars: 238
Forks: 48
Contributors: 20

Direct Usage Popularity

The npm package egg-security receives a total of 22,267 downloads a week. As such, we scored egg-security popularity level to be Recognized.

Based on project statistics from the GitHub repository for the npm package egg-security, we found that it has been starred 238 times.

Downloads are calculated as moving averages for a period of the last 12 months, excluding weekends and known missing data points.

Community

Sustainable

Readme.md: Yes
Contributing.md: No
Code of Conduct: No
Contributors: 20
Funding: No

With more than 10 contributors for the egg-security repository, this is possibly a sign for a growing and inviting community.

We found a way for you to contribute to the project! Looks like egg-security is missing a Code of Conduct.

Embed Package Health Score Badge

Maintenance

Healthy

Commit Frequency

Open Issues: 3
Open PR: 2
Last Release: 4 months ago
Last Commit: 4 months ago

Further analysis of the maintenance status of egg-security based on released npm versions cadence, the repository activity, and other data points determined that its maintenance is Healthy.

We found that egg-security demonstrates a positive version release cadence with at least one new version released in the past 12 months.

In the past month we didn't find any pull request activity or change in issues status has been detected for the GitHub repository.

Keep your project healthy

Check your package.json

Ensure all the packages you're using are healthy and well-maintained

Snyk Vulnerability Scanner

Get health score & security insights directly in your IDE

Package

Node.js Compatibility: >=14.17.0

Age: 8 years
Dependencies: 14 Direct
Versions: 57
Install Size: 76.7 kB
Dist-tags: 2
# of Files: 37
Maintainers: 15
TS Typings: No

egg-security has more than a single and default latest tag published for the npm package. This means, there may be other tags available for this package, such as next to indicate future releases, or stable to indicate stable releases.

Readme

egg-security

egg 内置的安全插件

使用方式

egg 默认开启此插件，所以无需配置。

修改 config/config.js 文件修改配置

exports.security = {
  xframe: {
    value: 'SAMEORIGIN',
  },
};

关闭安全防范

如果你想关闭其中一些安全防范，直接设置该项的 enable 属性为 false 即可，如关闭 xfame 防范：

exports.security = {
  xframe: {
    enable: false,
  },
};

match 和 ignore

如果只想开启针对某一路径，则配置 match 选项，例如只针对 /example 开启 csp

exports.security = {
  csp: {
    match: '/example',
    // match: /^\/api/, // support regexp
    // match: ctx =&gt; ctx.path.startsWith('/api'), // support function
    // match: [ ctx =&gt; ctx.path.startsWith('/api'), /^\/foo$/, '/bar'], // support Array
    policy: {
      //...
    },
  },
};

如果需要针对某一路径忽略某安全选项，则配置 ignore 选项，例如针对 /example 关闭 xframe，以便合作商户能够嵌入我们的页面：

exports.security = {
  xframe: {
    ignore: '/example',
    // ignore: /^\/api/, // support regexp
    // ignore: ctx =&gt; ctx.path.startsWith('/api'), // support function
    // ignore: [ ctx =&gt; ctx.path.startsWith('/api'), /^\/foo$/, '/bar'], // support Array
    // ...
  },
};

注意：如果存在 match 则忽略 ignore。

API

ctx.isSafeDomain(domain)

是否为安全域名。安全域名在配置中配置，见 ctx.redirect 部分

接口限制

csrf

使用

ctx.csrf 获取 csrf token

一般在 POST 表单时使用。

页面渲染时，将 ctx.csrf 作为 form 隐藏域或 query string 渲染在页面上。(_csrf 作为 key)

在提交表单时，带上 token 即可。

通过 formData 上传时使用 csrf

浏览器端 html 代码:

<form enctype="multipart/form-data" action="/upload?_csrf={{ ctx.csrf | safe }}" method="POST">
  title: <input>
  file: <input type="file" name="file">
  <button type="submit">上传</button>
</form>

ctoken

ajax 防跨站攻击。

使用

在 ajax 请求时，以 ctoken 为 name 带上 ctoken 即可。

ctoken 从 cookie 中获取

安全开发者约定

ctx.ctoken 获取 ctoken 的逻辑。使用者不要调用，安全插件内部使用。
ctx.setCTOKEN() 设置 ctoken 的逻辑。使用者不要调用，安全插件内部使用。
ctx.assertCTOKEN() ctoken 校验逻辑。使用者不要调用，安全插件内部使用。
ctx.setCTOKEN()会将cookie设置到主域名下，主要考虑主域名下其他子域名对应的应用之间的互相调用。例如 A.xx.com 域种了 ctoken,会设置cookie到xx.com域上，在 B.xx.com 域的时候可以利用 ctoken 去请求，在 A 域 jsonp 请求 B 域的时候，B 域也可以验证 ctoken。

可拓展实现。例如 ctoken token 存在什么 cookie，存什么字段等，都可以通过以上两个接口拓展。

配置项

exports.security = {
  csrf: {
    type: 'ctoken',             // 可以是 ctoken / referer / all, 默认为 ctoken
    useSession: false,          // 如果设为 true，secret 将存储在 session 中
    ignoreJSON: false,          // 如果设为 true ，将忽略 json 请求
    cookieName: 'csrfToken',    // csrf 的 token 在 cookie 中存储的 key 名称
    sessionName: 'csrfToken',   // csrf 的 token 在 session 中存储的 key 名称
    headerName: 'x-csrf-token', // csrf token 在 header 中的名称
    bodyName: '_csrf',          // csrf token 在 body 中的名称
    queryName: '_csrf',         // csrf token 在 query 中的名称
    refererWhiteList: [],       // referer 白名单
    supportedRequests: [        // 支持的 url path pattern 和方法，根据配置名单由上至下匹配 url path 正则，建议在自定义时配置 {path: /^\//, methods:['POST','PATCH','DELETE','PUT','CONNECT']} 为兜底规则
      {path: /^\//, methods:['POST','PATCH','DELETE','PUT','CONNECT']},
    ],
  },
}

注意，methods 可以为空，如果将 supportedRequests 设置为supportedRequests: [{path: /^\//, methods:[]}], 那么等效于关闭 csrf 防御。

safe redirect

ctx.redirect(url) 如果不在配置的白名单内，则禁止
ctx.unsafeRedirect(url) 不建议使用

安全方案覆盖了默认的ctx.redirect方法，所有的跳转均会经过安全域名的判断。

用户如果使用ctx.redirect方法，需要在应用的配置文件中做如下配置：

exports.security = {
  domainWhiteList:['.domain.com'],  // 安全白名单，以.开头
};

若用户没有配置 domainWhiteList 或者 domainWhiteList 数组内为空，则默认会对所有跳转请求放行，即等同于ctx.unsafeRedirect(url)。同时域名和 url 检查时不区分大小写。

jsonp

使用 jsonp-body，在 egg context 中实现，并不再 egg-security 中。

防御内容：

callback函数名词最长50个字符限制
callback函数名只允许"[","]","a-zA-Z0123456789_", "$" "."，防止一般的 xss，utf-7 xss等攻击

可定义配置：

callback 默认 _callback，可以改名
limit - 函数名 length 限制，默认 50

helper

.escape()

对字符串进行 xss 过滤，安全性最高的过滤方式。

const str = '&gt;&lt;';
console.log(ctx.helper.escape(str));
// =&gt; &gt;&lt;script&gt;alert("abc") &lt;/script&gt;&lt;

在 nunjucks 模板中，默认进行 escape，不需要显式调用。

.surl()

url 过滤。

用于在html标签中中要解析 url 的地方（比如 <a href=""><img src="">），其他地方不允许使用。

对模板中要输出的变量，加 helper.surl($value)。

特别需要注意的是在需要解析url的地方，surl 外面一定要加上双引号，否则就会导致XSS漏洞。

不使用 surl

</a><a href="$value">

output:

</a><a href="https://www.domain.com<script>">

使用 surl

</a><a href="helper.surl($value)">

output:

</a><a href="https://www.domain.com<script>">

.sjs()

用于在 js（包括 onload 等 event）中输出变量，会对变量中字符进行 JAVASCRIPT ENCODE，将所有非白名单字符转义为 \x 形式，防止xss攻击，也确保在 js 中输出的正确性。

const foo = '"hello"';

// 未使用 sjs
console.log(`var foo = "${foo}";`);
// =&gt; var foo = ""hello"";

// 使用 sjs
console.log(`var foo = "${this.helper.sjs(foo)}";`);
// =&gt; var foo = "\\x22hello\\x22";

.shtml()

将富文本（包含 html 代码的文本）当成变量直接在模版里面输出时，需要用到 shtml 来处理。使用 shtml 可以输出 html 的 tag，同时执行 xss 的过滤动作，过滤掉非法的脚本。

由于是一个非常复杂的安全处理过程，对服务器处理性能一定影响，如果不是输出 HTML，请勿使用。

简单示例：

// js
const value = `</a><a href="https://www.domain.com">google</a>`;

// 模板


  ${helper.shtml($value)}


// =&gt; <a href="https://www.domain.com">google</a>&lt;script&gt;evilcode…&lt;/script&gt;

shtml 在 xss 模块基础上增加了针对域名的过滤。

默认规则
自定义过滤项

例如只支持 a 标签，且除了 title 其他属性都过滤掉：

whiteList: {a: ['title']}

options:

> config.helper.shtml.domainWhiteList 已过时，请使用 config.security.domainWhiteList 代替。

注意，shtml 使用了严格的白名单机制，除了过滤掉 xss 风险的字符串外，在默认规则外的 tag 和 attr 都会被过滤掉。

例如 html 标签就不在白名单中，

const html = '';

// html
${helper.shtml($html)}

// 输出空

常见的 data-xx 属性由于不在白名单中，所以都会被过滤。

所以，一定要注意 shtml 的适用场景，一般是针对来自用户的富文本输入，切忌滥用，功能既受到限制，又会影响服务端性能。此类场景一般是论坛、评论系统等，即便是论坛等如果不支持 html 内容输入，也不要使用此 helper，直接使用 escape 即可。

.spath()

如果把输入字符串用作 path 路径，需要使用 spath 进行安全检验。若路径不合法，返回 null。

不合法的路径包括：

使用 .. 的相对路径
使用 / 开头的绝对路径
以及以上试图通过 url encode 试图绕过校验的结果字符串

const foo = '/usr/local/bin';
console.log(this.helper.spath(foo2));
// =&gt; null

.sjson()

json转义

在js中输出json，若未做转义，易被利用为xss漏洞。提供此宏做json encode，会遍历json中的key，将value的值中，所有非白名单字符转义为\x形式，防止xss攻击。同时保持json结构不变。若你有模板中输出一个json字符串给js应用的场景，请使用 ${this.helper.sjson(变量名)}进行转义。

处理过程较复杂，性能损耗较大，尽量避免使用

实例:

.cliFilter()

远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致可以执行命令，通常可导致入侵服务器。

如果用户可控变量为命令中的参数。则直接使用安全包函数过滤。

修复前：


  cp.exec("bash /home/admin/ali-knowledge-graph-backend/initrun.sh " + port);

修复后：


  cp.exec("bash /home/admin/ali-knowledge-graph-backend/initrun.sh " + this.helper.cliFilter(port));

如果因为业务需要，需要在参数中添加白名单之外的字符。可以将用户输入按照该字符分割，并使用过滤函数过滤每一段数据。

如果用户可控变量为命令中的命令，则和开发协商修改功能或功能下线。

.escapeShellArg()

命令行参数转义。给字符串增加一对单引号并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，并且还是确保安全的。

const ip = '127.0.0.1 &amp;&amp; cat /etc/passwd'
const cmd = 'ping -c 1 ' + this.helper.escapeShellArg(ip);

console.log(cmd);
//ping -c 1 '127.0.0.1 &amp;&amp; cat /etc/passwd'

.escapeShellCmd()

命令行转义，从输入的命令行中删除下列字符: #&;`|*?~<>^()[]{}$;'", 0x0A 和 0xFF

const ip = '127.0.0.1 &amp;&amp; cat /etc/passwd'
const cmd = 'ping -c 1 ' + this.helper.escapeShellCmd(ip);

console.log(cmd);
//ping -c 1 127.0.0.1  cat /etc/passwd

Web 安全头

hsts Strict-Transport-Security

默认开启，如果是 http 站点，需要关闭

maxAge 默认一年 365 * 24 * 3600
includeSubdomains 默认 false

csp

默认关闭。需要开启的话，需要和安全工程师确定开启策略。

policy 策略

X-Download-Options:noopen

默认开启，禁用IE下下载框Open按钮，防止 ie 下下载文件默认被打开 xss

X-Content-Type-Options:nosniff

禁用 IE8 自动嗅探 mime 功能。例如：text/plain 却当成 text/html 渲染，特别当本站点服务内容未必可信的时候。

X-Frame-Options

默认 SAMEORIGIN，只允许同域把本页面当作 iframe 嵌入。

value 默认值 SAMEORIGIN

X-XSS-Protection

close 默认值false，即设置为 1; mode=block

其他

crossdomain.xml robots.txt 支持，默认都不加，系统可自行加，需要咨询项目安全工程师
禁止 trace track 两种类型请求

Contributors

_dead-horse	_fengmk2	_jtyjty99999	_popomore	_{shaoshuai0102}	_whxaxes
_atian25	_ai	_Anemone95	_guoshencheng	_p0sec	_pusongyang
_ShadyZOZ	_viko16	_brizer	_damujiangr	_EliYao

This project follows the git-contributor spec, auto updated at Wed May 10 2023 16:36:13 GMT+0800.

License¬

MIT¬

egg-security dependencies

csrf delegates egg-path-matching escape-html extend ip koa-compose matcher methods nanoid platform statuses type-is xss

egg-security development dependencies

beautify-benchmark benchmark egg egg-bin egg-mock egg-view-nunjucks eslint eslint-config-egg git-contributor spy supertest

FAQs

What is egg-security?

security plugin in egg framework. Visit Snyk Advisor to see a full health score report for egg-security, including popularity, security, maintenance & community analysis.

Is egg-security popular?

The npm package egg-security receives a total of 22,267 weekly downloads. As such, egg-security popularity was classified as a recognized. Visit the popularity section on Snyk Advisor to see the full health analysis.

Is egg-security well maintained?

We found that egg-security demonstrated a healthy version release cadence and project activity. It has a community of 20 open source contributors collaborating on the project. See the full package health analysis to learn more about the package maintenance status.

Is egg-security safe to use?

The npm package egg-security was scanned for known vulnerabilities and missing license, and no issues were found. Thus the package was deemed as safe to use. See the full health analysis review.

Last updated on 19 April-2024, at 15:57 (UTC).

Build a secure application checklist

Select a recommended open source package

Minimize your risk by selecting secure & well maintained open source packages

DONE

Scan your app for vulnerabilities

Scan your application to find vulnerabilities in your: source code, open source dependencies, containers and configuration files

SCAN NOW

Fix identified vulnerabilities

Easily fix your code by leveraging automatically generated PRs

AUTO FIX

Monitor for new issues

New vulnerabilities are discovered every day. Get notified if your application is affected

MONITOR APP