2、Node.js 应用安全环境搭建指南

Node.js 应用安全环境搭建指南

1. 原型修改的影响

原型的修改会影响原型链中包含该原型的所有对象。这可能很有趣，但也容易让人困惑。为了保持理智和应用程序的完整性，请避免修改原始原型。

2. 工具概述与应用安全起步

现在你应该对工具的使用有了更好的了解。Node.js 应用程序在单线程中运行，并在基础层面支持事件。同时，JavaScript 存在一些特性，从数学舍入误差到自动类型转换，都可能导致难以调试的错误。了解这些问题后，我们可以开始为 Node.js 应用程序进行安全防护，从服务器入手逐步推进。

3. 遵循最小权限原则

最小权限原则（PLP）有助于在整个应用程序中设计更好的安全性。在 PLP 中，应用程序的每个抽象层（程序、用户、进程）仅能访问完成其任务所需的信息和资源。如果应用层无法访问特权资源，攻击者就难以利用它获取这些资源，从而在发生安全漏洞时限制损失。

3.1 PLP 的常见示例

• 操作系统 ：用户通常有一个用于操作已安装应用程序的普通账户。当需要执行需要更高权限的操作（如安装应用程序）时，系统会提示输入更高权限的密码。这种手动权限提升系统增加了攻击者在受害者机器上执行恶意程序的难度。
• Web 应用程序 ：服务器进程通常没有对 Web 应用程序目录之外的读取权限，这可以防止攻击者利用服务器配置漏洞读取和修改服务器上的其他文件。

3.2 从 Web 应用程序角度的规则

• 不要以 root 权限