Node.js安全实践: 从防护到攻防 ​

系统掌握 Node.js 应用安全，构建坚不可摧的后端服务。

• 序言

第一部分：安全基础与威胁模型 ​

1. Node.js 安全全景图
2. 威胁建模：识别你的攻击面
3. OWASP Top 10 与 Node.js
4. 安全开发思维模式
5. Node.js 安全发布与漏洞响应

第二部分：输入验证与注入防护 ​

6. 输入验证基本原则
7. 使用 Joi 和 Zod 进行数据验证
8. SQL 注入原理与防护
9. NoSQL 注入：MongoDB 安全实践
10. 命令注入与防护
11. 路径遍历攻击防护
12. 正则表达式拒绝服务(ReDoS)
13. 原型污染攻击与防护

第三部分：Web 安全防护 ​

14. XSS 跨站脚本攻击详解
15. XSS 防护策略与实现
16. CSRF 跨站请求伪造
17. CORS 跨域资源共享配置
18. 安全 HTTP 头配置
19. 使用 Helmet.js 加固 Express
20. 点击劫持与 Frame 安全
21. Cookie 安全配置

第四部分：认证与授权 ​

22. 认证机制概览
23. 密码安全：存储与验证
24. Session 认证实现
25. JWT 原理与实现
26. JWT 安全最佳实践
27. 刷新令牌与令牌轮转
28. OAuth 2.0 实现指南
29. OpenID Connect 集成
30. 多因素认证(MFA)实现
31. 基于角色的访问控制(RBAC)
32. 基于属性的访问控制(ABAC)
33. API 密钥管理

第五部分：数据安全 ​

34. 敏感数据分类与处理
35. 加密基础：对称与非对称加密
36. Node.js crypto 模块实战
37. 哈希与消息认证码
38. 数据脱敏与匿名化
39. 密钥管理最佳实践
40. 环境变量与密钥安全
41. 数据库连接安全

第六部分：TLS/HTTPS 安全 ​

42. TLS/SSL 基础原理
43. Node.js HTTPS 服务配置
44. 证书管理与自动更新
45. TLS 版本与密码套件选择
46. mTLS 双向认证
47. HSTS 与证书透明度

第七部分：供应链安全 ​

48. npm 生态安全威胁
49. 依赖漏洞扫描：npm audit 与 Snyk
50. 依赖锁定与版本管理
51. 识别恶意包的技巧
52. 私有 npm 仓库安全
53. 软件物料清单(SBOM)
54. 依赖更新策略

第八部分：运行时安全与加固 ​

55. Node.js 沙箱与隔离
56. Node.js 权限模型(v20+)
57. 资源限制与 DoS 防护
58. 速率限制实现
59. 进程安全与权限降低
60. 容器化安全最佳实践
61. 生产环境安全配置清单

第九部分：日志、监控与响应 ​

62. 安全日志设计
63. 敏感信息日志脱敏
64. 入侵检测与告警
65. 安全事件响应流程
66. 安全审计与合规

第十部分：安全开发生命周期 ​

67. 安全编码规范
68. 代码审查安全检查清单
69. 静态分析工具(SAST)
70. 动态分析工具(DAST)
71. 安全测试实践
72. 渗透测试基础
73. 漏洞披露与响应
74. Node.js 安全总结与展望