2

我的问题是...

  • NestJS 是否开箱即用地处理一些安全实践?如果没有,除了头盔,您还可以分享哪些建议来保护 NestJS 应用程序?(我在 NestJS 中间件文档上看到了一个使用头盔依赖项的示例。)

  • 使用TypeORM时,SQL注入被覆盖?

提前致谢。

4

2 回答 2

4

除了在下面使用的实际 HTTP 提供程序(express/fastify)之外,Nest 没有带来任何其他东西。为了保持灵活性,我们没有决定强迫任何人使用特定的工具。相反,您可以选择任何您想要的。

在TypeORM方面,据我所知,SQL注入是被阻止的。

于 2018-05-30T05:52:59.030 回答
0

NestJS遵循与Node.js服务器和Express基本相同的安全规则。

NestJS在其文档中有一个专门的安全部分来解决这些主题:

在防止 SQL 注入方面,我认为清理输入和参数化语句是最重要的。

然而,总的来说,最重要的是程序员不要通过代码和架构造成安全漏洞,而是遵循良好的安全实践,并作为管理员以最少的权限暴露于生产强化服务。始终在这方面进行自我教育很重要。

于 2021-07-19T18:37:12.463 回答