このタグの記事 1 件
Expressは最小主義=既定ではセキュリティ機能をほぼ持たない。ゆえに守りは開発者が『自分で足す』。要点=(1)セキュリティヘッダ(helmet相当)(2)入力の検証とサニタイズ(3)認証だけでなく所有者スコープの認可(4)レート制限(総当り・DoS対策)(5)依存パッケージ(npm)のCVE監視+即パッチ。加えて外部URL取得はSSRF対策、秘密はenvでコード非混入。最小の自由と引き換えに、防御の責任も自分にある。