Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我的问题是...
NestJS 是否开箱即用地处理一些安全实践?如果没有,除了头盔,您还可以分享哪些建议来保护 NestJS 应用程序?(我在 NestJS 中间件文档上看到了一个使用头盔依赖项的示例。)
使用TypeORM时,SQL注入被覆盖?
提前致谢。
除了在下面使用的实际 HTTP 提供程序(express/fastify)之外,Nest 没有带来任何其他东西。为了保持灵活性,我们没有决定强迫任何人使用特定的工具。相反,您可以选择任何您想要的。
在TypeORM方面,据我所知,SQL注入是被阻止的。
NestJS遵循与Node.js服务器和Express基本相同的安全规则。
NestJS在其文档中有一个专门的安全部分来解决这些主题:
在防止 SQL 注入方面,我认为清理输入和参数化语句是最重要的。
然而,总的来说,最重要的是程序员不要通过代码和架构造成安全漏洞,而是遵循良好的安全实践,并作为管理员以最少的权限暴露于生产强化服务。始终在这方面进行自我教育很重要。