安全

在本章中，您将学习一些可以提高应用程序安全性的技术。

头盔

通过适当地设置HTTP标头，头盔可以帮助保护您的应用免受一些众所周知的Web漏洞的影响。通常，Helmet只是12个较小的中间件函数的集合，它们设置与安全相关的HTTP头（阅读更多）。首先，安装所需的包：

$ npm i --save helmet

安装完成后，将其应用为全局中间件。

import * as helmet from 'helmet';
// somewhere in your initialization file
app.use(helmet());

CORS

跨源资源共享（CORS）是一种允许从另一个域请求资源的机制。在引擎盖下，Nest使用了cors包，它提供了一系列选项，您可以根据自己的要求进行自定义。为了启用CORS，您必须调用enableCors()方法。

const app = await NestFactory.create(ApplicationModule);
app.enableCors();
await app.listen(3000);

此外，您可以将配置对象作为此函数的参数传递。可用的属性在官方cors存储库中详尽描述。另一种方法是使用Nest选项对象：

const app = await NestFactory.create(ApplicationModule, { cors: true });
await app.listen(3000);

您也可以使用cors配置对象，而不是传递布尔值。

CSRF

跨站点请求伪造（称为CSRF或XSRF）是一种恶意利用网站，其中未经授权的命令从Web应用程序信任的用户传输。要减轻此类攻击，您可以使用csurf软件包。首先，安装所需的包：

$ npm i --save csurf

安装完成后，将其应用为全局中间件。

import * as csurf from 'csurf';
// somewhere in your initialization file
app.use(csurf());

限速

为了保护您的应用程序免受暴力攻击，您必须实现某种速率限制。幸运的是，NPM上已经有很多各种中间件可用。其中之一是快速限价。

$ npm i --save express-rate-limit

安装完成后，将其应用为全局中间件。

import * as rateLimit from 'express-rate-limit';
// somewhere in your initialization file
app.use(rateLimit({
  windowMs: 15 * 60 * 1000, // 15 minutes
  max: 100 // limit each IP to 100 requests per windowMs
}));

提示如果你工作FastifyAdapter，请考虑使用fastify-rate-limit。