我想将node.js放在云端,用于具有敏感公司信息的应用程序。我担心node.js不如某些旧服务器那么安全,因为它已经不是很多了。我看到人们建议使用反向代理,以使其更安全。我理解它是如何更安全的,因为它没有直接暴露给世界。但是,xss和其他攻击仍然是可能的。仅从安全角度来看,有人认为node.js与旧服务器相同吗?关于“如何说服你的老板+公司安全团队”的任何提示?
答案 0 :(得分:3)
理论上,反向代理不会传递它本身无法处理的任何请求(包括那些故意阻止的请求)。
但是,如果node.js上存在错误,例如会在请求时公开某些变量的内容
GET /x0c/xa0
,然后代理将传递该请求并将答案转发给客户端(攻击者)。
所以还有风险......
答案 1 :(得分:0)
说服老板和安全团队的方法是证明你已经仔细考虑了这些问题并制定了合理而切合实际的计划来测试它们。
在任何公司环境中,您的代理只是整体安全性的一小部分,而且风险的管理方式也是如此。
为了测试这样的东西,你需要在代理处抛出一些* un *合理的请求。我喜欢juand的建议,例如,你也应该在代理处抛出非常大的请求。
Node.js代理应至少与Apache或自定义python / c ++代理一样安全,因为您只需要允许它代理非常具体的项目。
答案 2 :(得分:-2)
为什么不在python,c ++等上创建硬核锁定代理来控制访问?传递此代理的每个人都是受信任的用户,node.js可以使用它们。