jsのテストフレームワークを調べてみたら、jasmineとmochaが最近の主流らしいのですが、サーバーサイド、クライアントサイド両方に対応してるのがmochaでしょうか?
たしかに、mochaは一定の評価ができますが、気になるのはCSRFですかね。CSRF(Cross-Site Request Forgery)とは、ユーザがアクセスしているWebアプリケーション上で、望んでいないアクションの実行を強制する攻撃です。攻撃者は、偽造されたリクエストに対してのレスポンスを見ることができないので、この攻撃は、データ盗用ではなく、特に状態を変更するリクエストを対象としています。
こういった攻撃を軽減するために、Node.jsではcsrfモジュールを利用することができます。これもまたマシン語が使われているので、異なるフレームワーク向けのラッパーがあります。例として、csurfモジュールがあります。これは、CSRFプロテクション向けのExpressミドルウェアですね。
テスト用FWの話にCSRF関係ないんじゃね?
セキュリティ対策とテストの関連性がよくわかりませんが、どういうことですか?
ava推し
jasmine2が調べてみたら良いっぽい?
みんなの回答 3 件
たしかに、mochaは一定の評価ができますが、気になるのはCSRFですかね。
CSRF(Cross-Site Request Forgery)とは、ユーザがアクセスしているWebアプリケーション上で、望んでいないアクションの実行を強制する攻撃です。
攻撃者は、偽造されたリクエストに対してのレスポンスを見ることができないので、この攻撃は、データ盗用ではなく、特に状態を変更するリクエストを対象としています。
こういった攻撃を軽減するために、Node.jsではcsrfモジュールを利用することができます。これもまたマシン語が使われているので、異なるフレームワーク向けのラッパーがあります。
例として、csurfモジュールがあります。これは、CSRFプロテクション向けのExpressミドルウェアですね。
ava推し
jasmine2が調べてみたら良いっぽい?
関連するトピックス