이 태그가 달린 문서 1건
Express는 최소주의 = 기본값으로 보안 기능을 거의 갖지 않습니다. 그래서 방어는 개발자가 '직접 더하는' 것. 핵심 = (1) 보안 헤더(helmet 상당) (2) 입력 검증과 새니타이즈 (3) 인증뿐 아니라 소유자 스코프 인가 (4) 레이트 리밋(무차별 대입·DoS 대책) (5) 의존성 패키지(npm)의 CVE 모니터링 + 즉시 패치. 더해 외부 URL 취득은 SSRF 대책, 시크릿은 환경 변수에 두고 코드에 섞지 않기. 최소한의 자유와 맞바꾸어, 방어의 책임도 자신에게 있습니다.