为什么 Node.js 容易受攻击?常见攻击面分析,安全开发原则。
防止注入的第一道防线,Joi、express-validator 参数校验。
参数化查询 & ORM 安全实践,Sequelize/TypeORM 配置。
MongoDB 注入原理与防御,使用 mongo-sanitize 库。
child_process 安全使用,避免 exec / eval 危险操作。
反射、存储、DOM 型 XSS 原理与防御,Helmet & DOMPurify。
CSRF 攻击原理,csurf / csrf-csrf Token 验证。
JWT 安全实践,Token 存储策略,刷新令牌机制。
Express-session 安全配置,Cookie 属性 Secure/HttpOnly/SameSite。
bcrypt vs argon2 哈希算法,盐值使用与密码策略。
文件类型校验、大小限制、路径遍历防御,multer 配置。
防止目录遍历,path.resolve 和绝对路径限制。
参数合并攻击原理,使用 qs 库的安全配置。
Helmet 中间件设置 CSP、HSTS、X-Frame-Options 等。
同源策略与 CORS 配置,白名单机制与预检请求。
express-rate-limit / express-brute 防止暴力攻击。
敏感信息脱敏,日志注入防御,winston/pino 安全配置。
npm audit、Snyk/WhiteSource 扫描,package-lock.json 重要性。
dotenv 配置,.gitignore 保护,密钥管理最佳实践。
避免信息泄露,自定义错误类,全局错误中间件设计。
ESLint 安全规则,eslint-plugin-security,代码审查清单。
Node.js HTTPS 服务器配置,证书管理,HSTS 强制 HTTPS。
WebSocket 认证与授权,消息校验,防止跨站点劫持。
查询深度限制,速率限制,认证授权,防止信息泄露。
服务间认证,API 网关安全,JWT 在微服务中的传递。
Dockerfile 安全最佳实践,非 root 用户运行,镜像扫描。
OWASP ZAP 使用,自动化安全测试,渗透测试基础。
防止事件循环阻塞,pm2 集群模式,内存泄漏检测。
安全事件响应流程,漏洞披露策略,补丁管理。
构建安全 RESTful API,从设计到部署全流程安全加固。