Best Practices for Securing Node.js Applications in Production
Чеклист из 15 пунктов про обеспечение безопасности в nodejs приложении. В каждом пункте в статье раскрывается зачем и как это делать
- Не запускать Node.js с Root привилегиями
- Иметь актуальные версии NPM-пакетов
- Избегать дефолтных имен куки
- Установить HTTP-заголовки, отвечающие за безопасность
- Реализовать Rate Limiting
- Настроить строгие политики аутентификации
- Не отправлять лишней информации
- Мониторить бекенд
- Использовать HTTPS-only политику
- Валидировать пользовательский ввод
- Использовать линтеры
- Защищаться от SQL-инъекций
- Ограничить размер запроса
- Мониторить уязвимости через тулинг
- Обеспечьте возможность репорта уязвимостей пользователями