该标签下有 1 篇文章
Express 是极简框架——默认几乎不内置任何安全功能,因此守护是由开发者自己添加的。要点:(1) 安全响应头(helmet 类);(2) 输入的校验与净化;(3) 以所有者为范围的授权,而不只是认证;(4) 限流(暴力破解 / DoS);(5) 依赖(npm)CVE 监控与快速打补丁。此外,对外部 URL 请求做 SSRF 防护,密钥放进环境变量、不混入代码。极简框架带来自由,同时也把防御的责任交给了你。