我想将 node.js 放在云端,用于具有敏感公司信息的应用程序。恐怕 node.js 不如一些较旧的服务器安全,因为它还没有广泛使用。我看到有人建议对它使用反向代理以使其更安全。我了解它如何更安全,因为它不直接暴露于世界。但是,xss 和其他攻击仍然是可能的。仅从安全角度来看,有人认为 node.js 与旧服务器不相上下吗?关于“如何说服你的老板+公司安全团队”有什么技巧吗?
最佳答案
从理论上讲,反向代理不会传递任何它本身无法处理的请求(包括它设计为有意阻止的请求)。
但是,如果 node.js 存在错误,例如会在请求时泄露某些变量的内容
GET /x0c/xa0
收到,然后代理将只传递该请求并将答案转发给客户端(攻击者)。
所以还是有风险...
关于security - 反向代理是否使 node.js 安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7054117/