是什么使JAMStack安全？

Question

对JAMstack的每一种描述似乎都提到“安全”是有益的，例如：

JAMstack应用程序的静态特性使得扩展变得容易，并且几乎不会导致开发开销。JAMstack方法还可以改善应用程序的安全姿态，因为静态站点通常有一个小的攻击矢量。

https://www.contentful.com/r/knowledgebase/jamstack-cms/

提供更好的性能、更高的安全性、更低的扩展成本和更好的开发体验。

https://jamstack.org/

我真的不明白什么是“更安全”。我看到的都是这样的名言：

开发人员可以利用第三方服务的专业知识来增强您的网站/应用程序的安全功能。

因此，简而言之，这里唯一的“安全性”来自于Auth0、Octa或其他人应该擅长安全，因为这是他们关注的焦点吗？还是我漏掉了什么？

编辑，找到另一个引号：

在您的服务器上没有运行数据库、插件或动态软件的情况下，代码注入和黑客攻击的可能性将大大降低。当你的网站是静态文件的集合时，所有的动态功能都用APIs和客户端JavaScript来处理，这就不需要依赖CMS插件了。虽然处理持久数据的外部API完全有可能暴露漏洞，但消除CMS可以消除许多故障点和攻击向量。对于静态博客来说，至少与典型的WordPress安装相比，安全本质上是一个没有问题的问题。

https://builtvisible.com/go-static-try-jamstack/

所以，似乎大多数的“安全”就是没有wordpress？

Answer 1

是的，基本上就是这样。

“没有wordpress”的意思是：

• 没有Wordpress，德鲁帕尔，朱姆拉，MySQL等.
• cgi服务器端(IIS、阿帕奇、Nginx)可能仍然存在，如果您不使用第三方cdn，但是更容易更新和减轻，因为它只提供静态文件，不需要管理php \ python \复杂的cgi插件和依赖项。
• 没有存储的XSS，只有反射。

它大大缩小了攻击的范围。