該標籤下有 1 篇文章
Express 是最小主義——預設幾乎什麼都不守,所以防禦要自己補上。本頁是實務參考:(1)附優先度的強化檢查表(P0〜P2) (2)分領域的具體對策=安全性標頭(helmet)+停用 x-powered-by、npm 相依套件 CVE、輸入驗證與注入(SQL/NoSQL 運算子)、驗證與擁有者範圍的授權、速率限制與大小上限、工作階段/cookie/CSRF、SSRF、正式環境錯誤處理(不暴露堆疊)、NODE_ENV (3)自我檢驗檢查。只談防禦與點檢,不含攻擊步驟。