我非常熟悉Apache / Nginx + PHP设置中的安全性。
在Apache中,我可以设置DocumentRoot
,在PHP中,我可以使用open_basedir
来限制Web服务器和/或PHP无法访问的文件系统的访问部分。
但是,现在我已经创建了一个由Node和Express运行的应用程序,我发现很难保护它。我搜索了网络,但没有找到任何东西,只有小范围的安全提示。
那么,Node / Express是否具有等同于open_basedir
或类似的东西?
答案 0 :(得分:2)
未经您的同意,Express不会共享任何文件。也不允许在接收的路径中使用双点(..
)的路由。
只需使用static
中间件,并注意不要使用您不想分享的内容访问文件夹:
app.use('/images', express.static('/home/user/images');
app.use('/', express.static('/home/user/public'));