nodejs安全吗

安全是不容忽视的，每个开发者都知道它非常重要，真正严肃对待它的却没有几人。我们 RisingStack 希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因，你的应用在被成千上万用户使用前必须要做安全检查。

这份清单大部分内容是通用的，不仅适用于Nodejs，同样适用于其他语言和框架，只是一些明确给出了在Nodejs中使用的方法。同时推荐你去阅读我们的引导文章 Nodejs security，如果你刚开始使用Nodejs，推荐你看这篇文章 first chapter of Node Hero。

配置管理

HTTP 安全头部

有些关于安全的HTTP头部是你的网站必须要有的：

Strict-Transport-Security 强制将HTTP请求替换为HTTPS请求

X-Frame-Options 防止点击劫持

X-XSS-Protection 开启跨站脚本攻击（XSS）的过滤，大多数现代浏览器支持这个设置

X-Content-Type-Options 禁用浏览器对响应内容MIME类型的嗅探，严格使用响应的Content-Type的值

Content-Security-Policy 能有效防止多种攻击，包括跨站脚本和跨站注入

Nodejs开发者可以使用Helmet模块置这些头部，代码如下：

var express = require('express');

var helmet = require('helmet');

var app = express();

appuse(helmet());

Koa和ThinkJS框架中可以使用koa-helmet来设置这些头部，当然有关安全的头部不止这些，更多请看Helmet和MDN HTTP Headers。

在大多数架构里这些头部可以设置在web服务器的配置中（Apache、Nginx），不需要对应用代码进行改动。在Nginx中的配置：

# nginxconf

add_header X-Frame-Options SAMEORIGIN;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self'";

有一个完整的Nginx配置文件，帅气的传送门在此。

如果你想快速检查你的网站是否有了所有的必须头部，请使用这个在线检查器。

客户端的敏感数据

当发布前端应用时，确保你的代码里永远不会包含API密码和证书，因为它可以被任何人看到。

没有自动化的方法去检查你在代码里写了敏感数据，但是有两个可以降低向客户端暴露敏感数据风险的方法：

使用 pull requests 提交代码

定期 code review

最近自己做了两个小的demo，前端是微信小程序的，后端是node+koa2实现的，顺便把微信小程序相关知识学习一下，大家有什么问题可以一起讨论，谢谢。

这次记录的是 真机调试是后台是本地服务器，显示未能连接到服务器 的问题。

在小程序开发时我们为了方便而不去搭建域名，在本地直接localhost就可以使用本地的服务器，但是小程序要求是https的域名才可以使用，所以我们在开发时要勾选详情里面的 不校验合法域名、web-view（业务域名）、TLS 版本以及 HTTPS 证书 这一项，这就可以在小程序的开发者工具上看效果了。

但是想要真机调试而且使用本地服务器做后台提供数据的话，需要满足以下几点：

其实是个小问题，注意一下就可以了。

中公教育前端培训还可以，前端培训更推荐千锋教育，千锋教育采用全程面授高品质、高体验培养模式，学科大纲紧跟企业需求，拥有国内一体化教学管理及学员服务，在职业教育发展道路上不断探索前行。

前端最开始的前端网页主要是静态网页，所谓的静态网页就是没有与用户进行交互而仅仅供读者浏览的网页，例如一篇QQ日志、一篇博文等展示性文章。所以用户能做的唯一一件事就是浏览这个网站的文字内容，这时用户也不能像现在在大多数网站都可以评论交流（缺乏交互性）。到现在单一的文字和组成的静态网页已经不能满足用户的需求，网页有静态网页和动态网页。所谓动态网页，就是用户不仅仅可以浏览网页，还可以与服务器进行交互。

想要了解更多前端相关问题，推荐咨询千锋教育。千锋企合作部整合大量企业客户资源，紧抓当下企业需求，将技术和项目完美结合千锋课程体系，力求培养更多优质人才服务企业，不断提升学员竞争力，链接企业用人标准的培训课程及实战项目，让企业招聘用人的技术要求与千锋学员的技术充分对接。近年来不断引进阿里钉钉小程序技术、红帽认证、腾讯云、亚马逊等，通过与企业的深度融合实现千锋教研和就业服务的迭代升级，专业性值得信赖。

Nodejs非常适用于Web开发，但是现在无论是一个网站，还是Web App都已经成为包括很多不同部分，如前端、数据库、业务模块、功能模块等等的大型项目，使用Nodejs从零开始进行Web开发，也许大中型团队能够 胜任，但对于个人和小型团队来说是不现实的。这时候框架就成为Web开发利器，对于个人开发来说几乎是必不可少。那么如何选择Nodejs Web开发框架呢？

首先，我们必须要弄清楚的是，我们需要的是——

程序 or 框架？

程序是已经成型的应用，你需要的是为它搭建环境、添加配置，然后就可以运行起来；框架则是应用的骨架，你需要为它添加数据模型、业务逻辑，它才能成为应用，开始提供服务。

事实上，对于Web开发来说，程序和框架的区别正越来越模糊，比如几乎妇孺皆知的Wordpress，它是一个博客程序，但它丰富的插件以及高度的 自定义能够支持很大程度上的二次开发，在这点上它比起一些PHP框架也并不逊色。我个人认为，如果重心在于提供服务而不是掌握技术，有WordPress 这样的程序是没有必要使用框架的。

可惜的是，由于Nodejs还很年轻，目前还没有WordPress这样的程序，因此目前在Nodejs开发里，如果想做出自己想要的作品，框架是必然的选择。如果是某些特定类型的应用，可以尝试一些开源的程序，比如要用Nodejs做博客，有Hexo、Ghost等。

Nodejs Web框架有哪些？

Nodejs里的Web框架分为API框架和Web应用框架。前者能够开发出RESTful的API，后者也能开发出RESTful API，但还包括模板、渲染等为前端所准备的功能。

API框架的使用场景是为跨平台应用提供统一的数据模型，而渲染由前端/客户端自行解决。目前比较知名的API框架有

restify（文档、Github、NPM）

ActionHerojs（官网、Github、NPM）

LoopBack（官网、Github、NPM）

Frisby（官网、Github、NPM）

Fortunejs（官网、Github、NPM）

Web应用框架顾名思义，就是为了打造Web应用所开发的框架。这里有两种风格的Web应用框架。

一个是Sinatra风格，另一个是Rails风格。Sinatra和Rails都是Ruby语言的Web框架，后者的影响力更大也更为知名。这里简单的解释一下两种风格是什么意思。

Sinatra风格是指高度可配置，注重开发的自由度。代表性的Nodejs Web框架有：

Express（官网、Github、NPM）TJ大神开发，Nodejs官方推荐

hapi（官网、Github、NPM）

koajs（官网、Github、NPM）

flaliron（官网、Github、NPM）

totaljs（官网、Github、NPM）

locomotive（官网、Github、NPM）

Rails风格则是指不重复自己和约定优于配置，以及严格遵循MVC结构开发。代表性的框架有：

Sailsjs（官网、Github、NPM）

geddy（官网、Github、NPM）

CompoundJS（官网、Github、NPM） 原railswayjs

这两种风格无所谓谁优谁劣，全凭使用者的偏好。

而在这两种Web框架之外，还有更大型的框架，即全栈框架，其中的代表是MEAN。

MEAN？

MEAN指MongoDB+Express+Angularjs+Nodejs，这一组合包括运行环境、数据库、Web框架和前端引擎。被称为 全栈框架（Full-stack framework）。这其中除了Nodejs之外，每一个都是可替换的，目标是创建从前端到后端，全部使用javascript的Web应用。

由于这一框架的完善性，有人将其称为LAMP的接班人。LAMP即PHP的典型运行环境，Linux+Apache+MySql+PHP，被大量的用于各种虚拟主机上。

MEAN看似庞大，但事实上要构建完整的现代化Web应用，特别是SPA（单页面应用），这几个组件都是难以缺少的，并且，其中每一项几乎都是目前 情况下的最佳选择，因此用于学习和重头开始打造新的Web应用是非常合适的。但由于实际业务的独特性，很可能要替换其中的组件，比如用Mysql来替换 MongoDB，因此，学习其中的原理和架构，打造自己的类MEAN框架也是一种选择。

作为个人和小团队来说，全栈框架MEAN基本上足够了，但目前大多数全栈框架还包含一项特性，那就是实时，拥有实时功能的框架我们又称为实时框架。

实时框架好吗？

实时框架（Real-time framework）指包含了webSocket的双向通信功能，能够在服务器和客户端做到实时通信的框架。

服务端和客户端自由通信的需求一直都在，但由于HTTP协议本身的局限性，因此催生了Comet等变通的方法，但即使这样也离实时相距甚远。而当 Nodejs兴起后，另一个HTML5技术webSocket也渐渐成熟，人们突然发现，实时通信一下子变得触手可及，于是webSocket技术在 Nodejs中得到大量的应用，其中最为知名的模块就是socketio，而各种全栈框架也纷纷加入实时特性来应对更广阔的开发需求。

目前有代表性的实时框架有：

Meteor（官网、Github、NPM）

MEANio（官网、Github、NPM）

Derby（官网、Github、NPM）

SocketStream（官网、Github、NPM）

不过说实话，目前能看到的实时通信的应用场景其实不多，其中大多集中于聊天室、to-do、实时图表、在线游戏等领域。其他领域使用实时特性不但没必要，而且是对服务器资源的浪费。因此目前是否要采用实时框架，要看具体的项目而定。

以上基本就是Nodejs Web框架的现状了，相信看到这里，对于选择何种框架读者已经心里有数了吧。最后再介绍一个容易搞混的概念，和解释一下我的选择。

YEOMAN？

第一次见到这个词，我还以为它和MEAN有什么联系。事实上，它们是截然不同的两个东西。YEOMAN由YO（脚手架）、grunt（构建工具）、bower（包管理器），它代表的是一种工作流，与框架开发的思维方式完全不同。具体的介绍可见这里。

YEOMAN能够和框架达到类似的目的，都是为构建一个Web应用做好准备，但是要不要采用YEOMAN，则是见仁见智。我个人的看法是，学习 YEOMAN本身就需要不少时间，并且有一定的学习门槛。至少在目前，使用框架开发还是相对经济的，而如果以后YEOMAN这种模式推广开来，再来学习也 不迟，更何况有一定的Nodejs项目经验之后再来学习YEOMAN要轻松很多。

事实上，我还是很认可YEOMAN这种Generator+package Manager的模式的，这是因为Nodejs本身崇尚微模块的 概念，即无论是多么小的功能，都将它们模块化，甚至大的模块也要拆分成小的模块，然后通过搭积木的方式来构建应用。这样能够彻底的解耦，对于不容易调试的 Javascript来说，也有助于定位和修复应用中的问题。Generator就是这种理念催生下的产物，通过选择不同的配置和选项，将积木搭起来。不 过对于这种模式目前大家也还处于实验当中，不急于进行实际应用。

1、 前端页面重构。主要内容为PC端网站布局、Photoshop 工具及切图、H5移动端网页布局、HTML5+CSS3新特性与交互。学习目标是完成PC端网站布局，可实现响应式布局，一套代码适配 PC 端、移动端、平板设备等。

2、 前后端网页交互。主要内容为JavaScript语法全面进阶、ES6 到 ES10 新语法实践、jQuery 应用及插件使用、设计模式及插件编写、封装JS工具库及Web APIS、AJAX+PHP+MySQL前后端交互、前端工程化与模块化应用以及PC 端全栈开发项目等。学习目标是可以掌握前端工程化工具，如 git、gulp、webpack 等，搭建项目及开发项目。

3、 Nodejs + 前端框架。主要内容为Nodejs 全面进阶、Koa2+MongoDB搭建服务、Vuejs 框架、Reactjs 框架、小程序云开发与小程序框架、原生APP与混合APP、数据可视化与桌面应用等。学习目标是掌握桌面应用及可视化大数据，实现复杂数据展示类项目，能够独立完成前后台相关功能，胜任HTML5全栈开发工程师职位。很多学习web前端的朋友都希望在学成后能找到一份满意的工作，所以我们在学习过程中一定要注意实战经验的积累，如果你所学的东西对企业没有用，那你所做的一切都是无用功。