OWASP Juice Shop 安装与使用指南

目录结构及介绍

当你通过 git clone https://github.com/juice-shop/juice-shop.git 克隆项目至本地之后，你会看到如下的主要目录和文件结构：

juice-shop/
|-- README.md          # 项目说明文档
|-- package.json       # Node.js 依赖管理文件
|-- .dockerignore      # Docker 构建过程忽略的文件或目录
|-- Dockerfile         # Docker 镜像构建脚本
|-- server             # 后端服务器代码目录
|   |-- app.js         # 主应用程序入口点
|   |-- config.js      # 服务端配置参数设置
|   |-- routes         # 路由处理函数目录
|-- client             # 前端客户端代码目录
|   |-- public         # 静态资源目录
|   |-- src            # 源码目录，包括 React 组件等
|-- scripts            # 自定义脚本目录，如测试、打包等
|-- tests              # 单元测试和集成测试脚本目录

• server: 包含了所有后端逻辑和服务相关的代码。
• client: 存储前端界面的相关文件，主要是React应用。
• Dockerfile: Docker镜像的构建指南。

启动文件介绍

server/app.js

这是整个OWASP Juice Shop应用程序的主入口点，这里初始化Express应用程序，配置中间件以及注册路由处理程序。

// 初始化Express框架并加载相关中间件
const express = require('express');
const app = express();
const bodyParser = require('body-parser');

app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));

// 设置视图引擎
app.set('view engine', 'ejs');

// 注册路由
require('./routes')(app);

// 开始监听服务器
const port = process.env.PORT || 3000;
app.listen(port);
console.log(`Juice Shop listening on ${port}`);

• bodyParser: 这个中间件用于解析HTTP请求体中提交的数据。
• .set('view engine', 'ejs'): 使用EJS作为模板引擎来渲染HTML页面。
• require('./routes')(app): 导入路由配置文件并应用到Express实例上。

配置文件介绍

在 /server/config.js 文件中包含了OWASP Juice Shop的一些重要配置参数，比如数据库连接字符串、加密密钥、日志级别等。这个文件对保持应用的安全性和稳定性至关重要。

module.exports = {
    DATABASE_URL: 'sqlite:///database.db',
    SECRET_SESSION: 'your-secret-session-key',
    LOG_LEVEL: 'info'
};

• DATABASE_URL: 数据库连接字符串，这里默认使用SQLite内存数据库。
• SECRET_SESSION: 用户会话的加密密钥，应更换为你自己的私密值以增加安全性。
• LOG_LEVEL: 应用的日志记录等级，可以是 'error', 'warn', 'info', 或 'debug' 等。