反向代理是否使node.js安全?

我想将node.js放在云中,以获取具有敏感公司信息的应用程序。 恐怕node.js不像一些较旧的服务器那么安全,因为它并没有被大量使用。 我看到有人build议使用反向代理来使它更安全。 我了解它是如何安全的,因为它不直接暴露于世界。 但是,xss和其他攻击仍然是可能的。 仅从安全的angular度来看,任何人都认为node.js与旧的服务器是一致的? 关于“如何说服老板+公司安全团队”的提示?

理论上,反向代理不会传递任何本身无法处理的请求(包括那些被devise为有意阻止的请求)。

但是,如果在node.js上有错误,例如当某个请求类似的时候,它会泄露某些variables的内容

GET /x0c/xa0 

被接收,那么代理将只传递该请求并将答案转发给客户端(攻击者)。

所以还是有风险的

说服老板和安全团队的方法就是要表明你已经思考过这些问题,并有一个合理的,现实的计划去testing它们。

在任何企业环境中,您的代理只是整体安全的一小部分,风险的pipe理方式也是如此。

为了testing这样的事情,你需要在代理上抛出一些* un *合理的请求。 比如我喜欢juand的build议,你也应该在代理上投入很大的请求。

一个Node.js代理应该至less和Apache一样安全,或者实际上是一个自定义的python / c ++代理,因为你只需要允许它代理非常特定的项目。

为什么不在python,c ++等创build硬核locking代理,这将控制访问? 每个通过这个代理的人都是可信的用户,node.js和他们一起工作。