NestJS是否已经提供安全措施？

Question

我的问题是......

• NestJS是否可以直接处理一些安全措施？如果没有，除了头盔之外，您可以分享哪些建议来保护NestJS应用程序？ （我在NestJS中间件文档中看到了一个使用头盔依赖的示例。）

• 使用TypeORM时，是否涵盖SQL注入？

提前致谢。

Answer 1

Nest除了下面使用的实际HTTP提供程序（express / fastify）之外没有任何其他功能。为了保持灵活性，我们没有决定强迫任何人使用特定工具。相反，你可以选择你想要的任何东西。

就TypeORM而言，据我所知，SQL注入被阻止了。

Answer 2

NestJS 遵循与 Node.js 服务器和 Express 大致相同的安全规则。

NestJS 在其文档中有一个专门的安全部分来解决这些主题：

• Authentication
• Authorization
• Encryption and Hashing
• Helmet
• CORS
• CSRF Protection
• Rate limiting

说到防止 SQL 注入，我认为清理输入和参数化语句是最重要的。

然而，总的来说，最重要的是程序员不会通过代码和架构造成安全漏洞，而是遵循良好的安全实践并作为管理员以最少的权限暴露给生产强化服务。始终在这方面进行自我教育很重要。