NestJS是否已经提供了安全实践？

Question

我的问题是..。

• NestJS会直接处理某些安全实践吗？如果没有，您可以分享哪些建议来保护除了头盔之外的NestJS应用程序？(我在NestJS中间件docs上看到了一个使用头盔依赖项的例子。)
• 当使用TypeORM时，是否涵盖了SQL注入？

提前谢谢。

Answer 1

Nest除了在下面使用的实际HTTP提供程序(express/fastify)之外，没有带来其他任何东西。为了保持灵活性，我们没有决定强迫任何人使用特定的工具。相反，你可以选择任何你想要的。

就TypeORM而言，据我所知，SQL注入是被阻止的。

Answer 2

NestJS基本上遵循与Node.js服务器和快递相同的安全规则。

NestJS在其文档中有一个专门的安全部分，用于讨论以下主题：

• 身份验证
• 授权
• 加密和散列
• 头盔
• CORS
• CSRF保护
• 速率限制

当涉及到防范SQL注入时，我认为清理输入和参数化语句是最重要的。

但是，总的来说，最重要的是，程序员不通过代码和体系结构造成安全漏洞，而是遵循良好的安全实践，并作为管理员使用最低特权的向生产硬化的服务公开。在这方面不断地教育自己是很重要的。