使用NPM審核或SNYK等工具保持依賴性更新； 2。使用頭盔設(shè)置安全的HTTP標(biāo)頭； 3。用諸如Express-validator之類的庫進行驗證和消毒用戶輸入； 4.通過Dotenv將秘密存儲在環(huán)境變量中，從不犯下這些秘密； 5。使用bcrypt使用JWT或OAUTH和HASH密碼實現(xiàn)安全身份驗證； 6。用快速率限制限制速率，以防止蠻力攻擊； 7.處理錯誤而不會暴露內(nèi)部細(xì)節(jié)； 8。作為非root用戶運行node.js以限制特權(quán)； 9。使用TLS/SSL和重定向HTTP流量執(zhí)行HTTP； 10.使用安全的記錄實踐監(jiān)視和記錄安全事件 - 安全是一個持續(xù)的過程，需要從開發(fā)到部署的警惕。

確保node.js應(yīng)用程序不是可選的，這是必不可少的。 Node.js憑藉其流行和廣泛使用，是攻擊者的常見目標(biāo)。一個監(jiān)督會導(dǎo)致數(shù)據(jù)洩露，未經(jīng)授權(quán)的訪問或服務(wù)中斷。這是確保node.js應(yīng)用程序安全的關(guān)鍵最佳實踐。

1。保持依賴關(guān)係更新和定期審核

Node.js應(yīng)用在很大程度上依賴於NPM的第三方軟件包。許多漏洞源於過時或妥協(xié)的依賴性。

• 使用npm audit或npm outdated識別已知漏洞。
• 考慮使用SNYK或DIDENDABOT之類的工具自動監(jiān)視和修補脆弱的軟件包。
• 避免安裝不必要的軟件包 - 每個人都會增加您的攻擊表面。

示例：像lodash這樣流行的軟件包曾經(jīng)具有原型污染漏洞。如果您沒有更新，則會暴露。

2。使用頭盔保護HTTP標(biāo)頭

HTTP標(biāo)頭可以洩漏信息，也可以使您的應(yīng)用程序打開以進行XSS或Clickjacking之類的攻擊。

• 安裝和使用頭盔中間件：

   const頭盔= require（'頭盔'）;
  app.use（helmet（））;

• 頭盔設(shè)置標(biāo)頭的安全默認(rèn)設(shè)置，例如：
  • X-Content-Type-Options ：防止Mime型嗅探
  • X-Frame-Options ：塊click jacking
  • X-XSS-Protection ：啟用XSS過濾器中的較舊瀏覽器中的過濾器
  • Strict-Transport-Security ：執(zhí)行HTTPS

您可以在需要時自定義頭盔設(shè)置，但是默認(rèn)值是一個可靠的起點。

3。驗證和消毒用戶輸入

永遠(yuǎn)不要相信用戶輸入。惡意有效載荷可以導(dǎo)致注射攻擊（SQL，NOSQL，命令等）。

• 使用JOI或Express-Validator等驗證庫。
• 消毒輸入以刪除或逃避危險字符。
• 對前端和後端進行驗證 - 可以繞過關(guān)閉的檢查。

具有快速錄音機的示例：

 const {body，validationResult} = require（'express-validator'）;

app.post（'/user'， 
  身體（“電子郵件”）。 iSemail（），
  身體（'password'）。 islength（{min：6}），
  （req，res）=> {
    const errors =驗證result（req）;
    如果（！errors.isempty（））{
      返回res.status（400）.json（{errors：errors.Array（）}）;
    }
    //安全繼續(xù)
  }
）；

4。將環(huán)境變量用於秘密

代碼中的API密鑰，數(shù)據(jù)庫密碼或JWT Secrets等硬編碼秘密是一個主要的安全風(fēng)險，尤其是如果代碼在公共存儲庫中。

• 將秘密存儲在.env文件中（切勿將其提交為版本控制）。
• 使用dotenv加載它們：

   require（'dotenv'）。 config（）;
  const dbpassword = process.env.db_password;

• 將.env添加到您的.gitignore 。

專家提示：使用不同的.env文件進行開發(fā)，分期和生產(chǎn)。

5。實施適當(dāng)?shù)纳矸蒡炞C和會話管理

虛弱的auth是違規(guī)的主要原因之一。

• 使用JWT（謹(jǐn)慎）或OAUTH進行無狀態(tài)身份驗證。
• 始終使用bcrypt或Scrypt的哈希密碼 - 從未商店純文本。

   const bcrypt = require（'bcrypt'）;
  const hashed =等待bcrypt.hash（密碼，12）;

• 設(shè)置安全的cookie選項：
  • httpOnly ：防止XSS訪問
  • secure ：確保通過https發(fā)送餅乾
  • sameSite ：減輕CSRF攻擊

例子：

 res.cookie（'token'，令牌，{
  httponly：是的，
  安全：是的，
  框場：“嚴(yán)格”
}）;

6.限制要求率並防止蠻力攻擊

如果不限制費率，攻擊者可以淹沒您的端點（例如，登錄，密碼重置）。

• 使用Express-rate-limit ：

   const ratelimit = require（'express-rate-limit'）;
  const limiter = ratelimit（{{
    窗口：15 * 60 * 1000，// 15分鐘
    最大：100 //將每個IP限制為每個窗口的100個請求
  }）;
  app.use（限制器）;

• 在諸如/login類的敏感路線上應(yīng)用更嚴(yán)格的限制。

7。優(yōu)雅處理錯誤

不要將堆棧跟蹤或內(nèi)部錯誤詳細(xì)信息揭示到客戶端。

• 避免在響應(yīng)中發(fā)送原始錯誤消息：

   // 壞的
  res.Status（500）.send（err）;
  
  // 好的
  Console.Error（err）;
  res.status（500）。

• 使用集中式錯誤處理中間件來標(biāo)準(zhǔn)化響應(yīng)。

8。運行node.js具有最低特權(quán)

如果遭到損害，將應(yīng)用程序作為根或具有升高權(quán)限的應(yīng)用程序會增加損害。

• 在非root用戶下運行node.js進程。
• 使用PM2或SystemD等過程管理人員安全地管理權(quán)限。

9。啟用https

始終在生產(chǎn)中使用HTTP來對運輸中的數(shù)據(jù)進行加密。

• 使用TLS/SSL證書（例如，通過Let's Encrypt）。
• 將HTTP重定向到https：

   app.use（（（req，res，next）=> {
    如果（！req.secure）{
      return res.redirect（`https：// $ {req.headers.host} $ {req.url}`）;
    }
    下一個（）;
  }）;

10。監(jiān)視和日誌安全事件

伐木有助於檢測和響應(yīng)攻擊。

• 日誌失敗的登錄嘗試，異?；顒踊蜃枞埱?。
• 使用Winston或Pino之類的工具與日誌旋轉(zhuǎn)。
• 避免記錄敏感數(shù)據(jù)（密碼，令牌）。

安全不是一次性設(shè)置。這是一個持續(xù)的過程。將這些實踐與常規(guī)代碼審查，滲透測試以及在Node.js安全諮詢上進行更新。

基本上，將堆棧從依賴關(guān)係中固定到部署，默認(rèn)情況下永遠(yuǎn)不要假設(shè)任何事情都是安全的。

以上是確保Node.js應(yīng)用程序：最佳實踐的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！