我搜索了文档,但没有找到ExpressJS提供的安全类型的任何细节。我通常使用Node的HTTP模块,所以我想这就是我与
的比较答案 0 :(得分:1)
一个很好的起点是ExpressJS安全页面:http://expressjs.com/en/advanced/best-practice-security.html
但正如您在页面上看到的那样,ExpressJS似乎主要将除了最基本的安全性之外的任何内容委托给其他中间件。正如页面所示,一个很好的起点是Helmet(https://www.npmjs.com/package/helmet),它提供了一些合理的默认值
您还应该考虑使用csurf中间件实施CSRF保护,当然,还要启用HTTPS作为一种形式。