Node.JS學習筆記(八)_express登入介面導入跳轉測試_EJS模板引擎_路由跳轉

-
 



cd /d D:\Projects\ReactAPI
mkdir node_login
cd node_login
npm init --yes
npm install express
npm install ejs
cd. > index.js




準備一個login頁面雛形
放置views目錄(新增一個存放檢視的folder)



  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Login</title>
  <style type="text/css">
    body {
  background: #456;
  font-family: 'Open Sans', sans-serif;
}

.login {
  width: 400px;
  margin: 16px auto;
  font-size: 16px;
}

/* Reset top and bottom margins from certain elements */
.login-header,
.login p {
  margin-top: 0;
  margin-bottom: 0;
}

/* The triangle form is achieved by a CSS hack */
.login-triangle {
  width: 0;
  margin-right: auto;
  margin-left: auto;
  border: 12px solid transparent;
  border-bottom-color: #28d;
}

.login-header {
  background: #28d;
  padding: 20px;
  font-size: 1.4em;
  font-weight: normal;
  text-align: center;
  text-transform: uppercase;
  color: #fff;
}

.login-container {
  background: #ebebeb;
  padding: 12px;
}

/* Every row inside .login-container is defined with p tags */
.login p {
  padding: 12px;
}

.login input {
  box-sizing: border-box;
  display: block;
  width: 100%;
  border-width: 1px;
  border-style: solid;
  padding: 16px;
  outline: 0;
  font-family: inherit;
  font-size: 0.95em;
}

.login input[type="email"],
.login input[type="password"] {
  background: #fff;
  border-color: #bbb;
  color: #555;
}

/* Text fields' focus effect */
.login input[type="email"]:focus,
.login input[type="password"]:focus {
  border-color: #888;
}

.login input[type="submit"] {
  background: #28d;
  border-color: transparent;
  color: #fff;
  cursor: pointer;
}

.login input[type="submit"]:hover {
  background: #17c;
}

/* Buttons' focus effect */
.login input[type="submit"]:focus {
  border-color: #05a;
}
  </style>
</head>
<body>
<div class="login">
  <div class="login-triangle"></div>
  
  <h2 class="login-header">Log in</h2>

  <form class="login-container">
    <p><input type="email" placeholder="Email"></p>
    <p><input type="password" placeholder="Password"></p>
    <p><input type="submit" value="Log in"></p>
  </form>
</div>
</body>
</html>





在此刻意改放置於front目錄


改寫index.js (程式進入點)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
let express = require("express");

let app = express();

let ejs = require("ejs");

//設置template檢視放置的位置
//(固定views,模板存放之相對目錄)
app.set("views","./views");

//設置要使用的template engine
//(模板引擎的名稱(模板檔案之附檔名),使用模板引擎方法)
app.engine("html",ejs.__express);

app.set("view engine","html");


app.get('/',function(req,res,next){
	//req : request物件(from client)
	//res : response物件(from server)
	//next : 運行下一個方法
	//res.send("我是一個Node網頁");
	res.render("front/login");
	
});


app.listen(3000 , function() {
	console.log("node server 已啟動,port:3000");
});

再次運行就可發現預設會導向我們指定的html 檢視


預設若要模擬登入成功
我們可以在本機寫死member物件陣列的假資料

記得進行npm install body-parser 
用於post 解析表單body資料

index.js

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
let express = require("express");

let app = express();

const bodyParser = require('body-parser');
app.use(bodyParser.urlencoded({extended:false}));

let ejs = require("ejs");

//設置template檢視放置的位置
//(固定views,模板存放之相對目錄)
app.set("views","./views");

//設置要使用的template engine
//(模板引擎的名稱(模板檔案之附檔名),使用模板引擎方法)
app.engine("html",ejs.__express);

app.set("view engine","html");


app.get('/',function(req,res,next){
	//req : request物件(from client)
	//res : response物件(from server)
	//next : 運行下一個方法
	//res.send("我是一個Node網頁");
	res.render("front/login");
	
});

const Members = [
    { id: 1, account: "aaa@gmail.com", passwd: "abc1" },
    { id: 2, account: "bbb@gmail.com", passwd: "abc2" },
    { id: 3, account: "ccc@gmail.com", passwd: "abc3" },
    { id: 4, account: "ddd@gmail.com", passwd: "abc4" }
];



app.post('/login',function(req,res,next){
	console.log("登入");
    console.log(req.body);
	let {user_account,user_passwd} = req.body;
	
	let acc = user_account?.trim() || '';
	let pwd = user_passwd?.trim() || '';
	
	const member = Members.filter(function(mem){
		if(mem.account == acc && mem.passwd == pwd)
		{
			return true;
		}
		return false;
	});
	console.log(member);
	
	if(member.length>0){
		res.send("<script>alert('登入成功');window.location.href='/';</script>");
	}else{
		res.send("<script>alert('無此會員帳號(信箱)');window.location.href='/';</script>");
	}
	
});



app.listen(3000 , function() {
	console.log("node server 已啟動,port:3000");
});


如果找到match的會員資料則




如果找不到則






在進行路由跳轉上可以在做location的指定
目前都是跳回原先首頁路由指定的login portal

在此可擴充三個路由
暫時先寫死回傳字串

1
2
3
4
5
6
7
8
9
app.get('/north',function(req,res,next){
	res.send("北部地區");
});
app.get('/south',function(req,res,next){
	res.send("南部地區");
});
app.get('/central',function(req,res,next){
	res.send("中部地區");
});


模擬會員寫死資料庫的物件陣列多擴充一個地區欄位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
let express = require("express");

let app = express();

const bodyParser = require('body-parser');
app.use(bodyParser.urlencoded({extended:false}));

let ejs = require("ejs");

//設置template檢視放置的位置
//(固定views,模板存放之相對目錄)
app.set("views","./views");

//設置要使用的template engine
//(模板引擎的名稱(模板檔案之附檔名),使用模板引擎方法)
app.engine("html",ejs.__express);

app.set("view engine","html");


app.get('/',function(req,res,next){
	//req : request物件(from client)
	//res : response物件(from server)
	//next : 運行下一個方法
	//res.send("我是一個Node網頁");
	res.render("front/login");
	
});

const Members = [
    { id: 1, account: "aaa@gmail.com", passwd: "abc1",position:"北部" },
    { id: 2, account: "bbb@gmail.com", passwd: "abc2",position:"中部" },
    { id: 3, account: "ccc@gmail.com", passwd: "abc3",position:"南部" },
    { id: 4, account: "ddd@gmail.com", passwd: "abc4",position:"北部" }
];

app.get('/north',function(req,res,next){
	res.send("北部地區");
});
app.get('/south',function(req,res,next){
	res.send("南部地區");
});
app.get('/central',function(req,res,next){
	res.send("中部地區");
});


app.post('/login',function(req,res,next){
	console.log("登入");
    console.log(req.body);
	let {user_account,user_passwd} = req.body;
	
	let acc = user_account?.trim() || '';
	let pwd = user_passwd?.trim() || '';
	
	const member = Members.filter(function(mem){
		if(mem.account == acc && mem.passwd == pwd)
		{
			return true;
		}
		return false;
	});
	console.log(member);
	
	if(member.length>0){
		let pos = member[0].position.trim();
		let pos_url = "";
		switch(pos){
			case '北部' :
				pos_url = "north";
				break;
			case '中部' :
				pos_url = "central";
				break;
			case '南部' :
				pos_url = "south";
				break;
		}
		//javascript string interpolation
		res.send(`<script>alert('登入成功');window.location.href='/${pos_url}';</script>`);
	}else{
		res.send("<script>alert('無此會員帳號(信箱)');window.location.href='/';</script>");
	}
	
});



app.listen(3000 , function() {
	console.log("node server 已啟動,port:3000");
});




那如何落實權限控管?
避免使用者直接跳過login 直接key url就可存取另外3頁呢?

這裡可以去安裝
express-session
讓資料keep在server做狀態保存藉此進行登入後身分的狀態存留

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
let express = require("express");

let app = express();

const bodyParser = require('body-parser');
app.use(bodyParser.urlencoded({extended:false}));

//處理session 配置
const session = require('express-session');
app.use(session({
	secret: 'keyboard cat',
	resave: false,
	saveUninitialized: true
}))

let ejs = require("ejs");

//設置template檢視放置的位置
//(固定views,模板存放之相對目錄)
app.set("views","./views");

//設置要使用的template engine
//(模板引擎的名稱(模板檔案之附檔名),使用模板引擎方法)
app.engine("html",ejs.__express);

app.set("view engine","html");

app.use(function (req, res, next) {
	console.log(req.url);//url 路徑判斷是否能直接進行訪問
	if(req.url != "/" && req.url != "/login")
	{
		if (req.session.acc && req.session.pwd) {
			console.log("已登入");
            next();
        } else {
            res.send("<script>alert('請先登入');top.location.href='/'</script>");
        }
	} else {
        next();
    }
	
});

app.get('/',function(req,res,next){
	//req : request物件(from client)
	//res : response物件(from server)
	//next : 運行下一個方法
	//res.send("我是一個Node網頁");
	res.render("front/login");
	
});

const Members = [
    { id: 1, account: "aaa@gmail.com", passwd: "abc1",position:"北部" },
    { id: 2, account: "bbb@gmail.com", passwd: "abc2",position:"中部" },
    { id: 3, account: "ccc@gmail.com", passwd: "abc3",position:"南部" },
    { id: 4, account: "ddd@gmail.com", passwd: "abc4",position:"北部" }
];

app.get('/north',function(req,res,next){
	res.send("北部地區");
});
app.get('/south',function(req,res,next){
	res.send("南部地區");
});
app.get('/central',function(req,res,next){
	res.send("中部地區");
});


app.post('/login',function(req,res,next){
	console.log("登入");
    console.log(req.body);
	let {user_account,user_passwd} = req.body;
	
	let acc = user_account?.trim() || '';
	let pwd = user_passwd?.trim() || '';
	
	const member = Members.filter(function(mem){
		if(mem.account == acc && mem.passwd == pwd)
		{
			return true;
		}
		return false;
	});
	console.log(member);
	
	if(member.length>0){
		let pos = member[0].position.trim();
		let pos_url = "";
		switch(pos){
			case '北部' :
				pos_url = "north";
				break;
			case '中部' :
				pos_url = "central";
				break;
			case '南部' :
				pos_url = "south";
				break;
		}
		req.session.acc = member[0].account;
		req.session.pwd = member[0].passwd;
		//javascript string interpolation
		res.send(`<script>alert('登入成功');window.location.href='/${pos_url}';</script>`);
	}else{
		res.send("<script>alert('無此會員帳號(信箱)');window.location.href='/';</script>");
	}
	
});



app.listen(3000 , function() {
	console.log("node server 已啟動,port:3000");
});

那也可更進一步去設計若今天這個會員登入者就只能存取其相應所屬區域的頁面路由






留言

張貼留言

這個網誌中的熱門文章

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header

-
圖片
  接續前幾篇系列 經得起原始碼資安弱點掃描的程式設計習慣培養(一)_OWASP Top 10(十大網站安全風險)_學習寫更安全程式碼的網站推薦 經得起原始碼資安弱點掃描的程式設計習慣培養(二)_8.Insecure Deserialization :不安全的反序列化漏洞ASP.NET處理方式 經得起原始碼資安弱點掃描的程式設計習慣培養(三)_7.Cross Site Scripting(XSS)_Stored XSS_Reflected XSS All Clients 經得起原始碼資安弱點掃描的程式設計習慣培養(四)_1.Injection注入攻擊_SQL Injection)_order by 語句正確參數化套入 最近又遇到被若安掃描到高風險要修正的程式碼啦.... 一看這還真是搞不懂該怎麼修呢 HSTS(HTTP Strict Transport Security)  主要是一份國際標準規格 (RFC 6797) 的網際網路瀏覽安全機制, 用於宣告瀏覽器與伺服器之間通訊方式必須強制採用 TLS/SSL 加密通道。 只要從伺服器端送出一個 Strict-Transport-Security 標頭 (Header) 給瀏覽器,即可告知瀏覽器於未來的某段時間內一律使用 SSL 來和該網站連接 (設定可涵蓋所有子域名網站), 一旦發生憑證失效情況,使用者將無法再瀏覽該網站,如此一來便可大幅減少中間人攻擊的問題發生。 再更白話一點 HSTS Header 就是負責將 http 強制轉為 https CheckMarx掃碼報告給的說明 ============================================================ 風險: 如果web config沒有設置HSTS表頭、"max-age"(有效期)不足一年, 或沒有設定"includeSubDomains"(包含所有子網域),可能會使用戶容易遭受中間人攻擊。 發生原因: 許多使用者只要在瀏覽器的網址列輸入網域名稱(Domain Name)即可瀏覽網站, 並沒有輸入協定(Protocol)的名稱。 瀏覽器會自動假設使用者使用的是HTTP協定而不是有加密機制的HTTPS協定。 在第一次發出前往特定網站的請求時,攻擊者可以執行中間人攻擊並將用戶轉址到
閱讀完整內容

經得起原始碼資安弱點掃描的程式設計習慣培養(三)_7.Cross Site Scripting(XSS)_Stored XSS_Reflected XSS All Clients

-
圖片
  近期新加入的功能code剛好也被CheckMarx掃出高風險部分的程式碼漏洞 我也踏到這個Issue啦 Cross Site Scripting(XSS)  第一種.Stored XSS 高風險 CheckMarx掃碼報告給的說明[Stored XSS] ============================================================ 風險: 攻擊者可以利用合法存取應用程式提交資料到資料庫。 當另一個使用者隨後存取該資料,網頁可能會被改寫且惡意腳本可能會被啟動。 發生原因: 從資料庫中的資料建立網頁。資料直接嵌入至HTML的頁面,利用瀏覽器顯示。 資料可能源自於其他使用者的輸入。 如果資料包含HTML片段或Javascript,使用者無法分辨是否為預期的頁面。 該漏洞主因為未先對嵌入資料庫中的資料進行編碼(Encode) 來預防瀏覽器將其當為HTML的格式而非純文字。 如何避免: 1.驗證所有資料,無論其來源為何。驗證應基於白名單:僅接受預定結構的資訊,而不是拒絕不良的樣式(Patterns)。  應確認:  ● 資料型態  ● 大小  ● 範圍  ● 格式  ● 期望值  2. 驗證無法取代編碼. 輸出嵌入之前,不論其來源, 將所有動態資料進行編碼. 編碼方式應該是上下文相關的. 例如: ● HTML內容使用HTML的編碼方式  ● HTML編碼特性是將資料輸出到特性的值 ● JavaScript的編碼方式為伺服器產生的Javascript  3.考慮使用ESAPI的編碼庫,或它的內置功能。對於舊版的ASP.NET,請考慮使用AntiXSS.  4.在HTTP類型對應的表頭, 明確定義整個頁面的字元編碼.  5. 設置 httpOnly 標誌於會期資訊,以防止利用XSS來竊取資訊. ============================================================ 這裡報告描述是指我對傳進來字串參數直接拋給DAL處裡的類別執行查詢 這裡缺乏對輸入進來的字串參數做一些查檢判斷 也建議在帶入時對參數也做一些html encode處理 這裡用AntiXSS來Encode 第二種.Reflected XSS All Clients 高風險 CheckMarx掃碼報告給的說明[Reflecte
閱讀完整內容

(2021年度)駕訓學科筆試準備題庫歸納分析_法規是非題

-
圖片
  若是出現 「必須」、「必需」、「...必...」、「應由」、「應先」、「應...」 則很高機率是圈 是非通常只要是如下字眼 「不必」+動詞 、「不需」「不須」、「可不」、「可以不」、「可立即」 有出現或符合的都選叉 (X)1.違規記點又不登記在駕照上,所以可以 不必理會 而任意違反交通規則。 (X)2.發生重大交通事故,為迅速恢復交通,清除現場,可 不必等待 肇事處理機關之指示,即可進行。 (X)3.道路駕駛練習,行車前 不必實施 車輛安全檢查,因為那是駕駛教練的工作。 (X)4.開車前, 不必檢查 機件安全,但在行駛中要隨時注意儀錶功能顯示,確保行車安全。 (X)5.煞車油若經常低於"MIN"線,只要添加即可, 不必到修理廠檢修 。 (X)6.冷卻系統只要副水箱在滿水位,主水箱 不必檢查 也不會有問題。 (X)7.引擎冷卻水內含有防凍液或防銹劑,可 不必更換 。 (X)8.儀錶板上的「燃油油量錶」之指針高度,已經降低至「E」點,橘色的「低油料警示燈」點亮時, 不必急著加油 ,到達目的地後再行補充燃油即可。 (X)9.有安全氣囊裝備的汽車, 不必繫 安全帶。 (X)10.煞車時有異音,是正常的情況, 不必檢修 。 (X)11.汽車定期檢驗 不必檢驗 車輛故障標誌,所以隨車不一定要帶車輛故障標誌。 (X)12.開車時 不必理會 義交之指揮,一切以號誌為主。 (X)13.汽車經過隧道,因隧道內燈光明亮視線良好,為省電可 不必開亮 頭燈。 (X)14.駕駛人只求技術優良,對遵守交通規則 不必太重視 。 (X)15.在開車前, 不必檢查 機件,以免耽誤行車時間。 (X)16.遇幼童專用車、校車、身心障礙者用特製車或教練車, 不必禮讓 。 (X)17.行車 不必攜帶 隨車工具。 (X)18.行車起駛前進, 不必顯示 方向燈。 (X)19.汽車通過鐵路平交道,前後兩車間, 不必保持 距離。 (X)20.夜間將車輛停放在無燈光設備及照明不清之道路時,亦 不必顯示 停車燈光或反光標識。 (X)21.在夜間或有霧靄、雨雪、風沙及晝晦時,把車輛停在路旁, 不必顯示 停車燈光或反光標識。 (X)22.汽車駕駛人,僅需具有優良駕駛技術, 不需 具備急救的常識和技能。 (X)23.汽車車身、引擎、底盤、電系等重要設備變更或調換時, 不需 向公路主管機關申請臨時檢驗。
閱讀完整內容