15. 보안

express.js.com -> advanced topics -> security best practices에 들어가보면

 

보안적인 지침들이 있다.

첫번째는 express를 최신버전으로 항상 유지해라.

 

두번째는 주소에서 http와 https중 https를 사용하라는 뜻이다.

     https를 사용하면 웹브라우저와 웹서버가 통신을 할때 상호간에 암호화가 체결된다.

     중간에 누가 데이터를 가로채가도 데이터의 실제 내용이 무엇인지 알수 없게 된다.

     인증서라는 것을 통해서 웹사이트에 도메인과 같은 것을 변조해서 피싱이라는것을 하려고 하는것을 알아내려고 할때 경고를 띄워줄 수 있다. TLS = SSL = https 

 

세번째 Use Helmet은

     보안과 관련된 여러가지 단골손님같은 보안 이슈들을 자동으로 해결해주는 그런 모듈이다.

npm install --save helmet  을 사용해 설치.

 

main.js

main.js에 helmet을 require한다.

그리고 app.use를 통해서 helmet 미들웨어를 로드시킨다.

그러면 자동으로 헬멧이 가지고 있는 기능들이 기본적으로 설정된다.

기능을 끄거나 키거나 하는 디테일한  부분은

디테일 하게 다룰 수 있다.

 

여기서는 기본적으로 헬멧이란것을 킨다 정도 수준으로사용한다.

 

네번째는 웹사이트에 사용자들이 방문할때 누가 방문했는지 확인하기 위해서는 방문자 한명한명을 식별해야하는데 그때 필요한 메커니즘이 쿠키라는것이다.

쿠키를 올바르게 안전하게 사용해라 라는 뜻이다.

 

여섯번째 Ensure your dependencies are secure은 디펜던시를 안전하게 관리해라 라는 뜻인데

     dependencies란 우리의 웹 애플리케이션이 사용하고 있는 여러가지 모듈들(npm을 통해 설치한것들) 중에 취약점을 가지고 있는게 있을 수 있다. 그 취약점을 잘 관리 해라 라는 뜻이다.

 

npm i nsp -g    를 사용해 설치한다. nsp라고 하는 보안을 체크해 주는 모듈을 -g 글로벌리하게( 컴퓨터 전체에서 사용할 수 있도록 설치)

 

설치 과정에서 code: 'EACCES'   라는 내용이 뜨게 되면 

앞에 sudo를 붙여주면된다.    sudo npm i nsp -g

 

설치가 완료되면

 

nsp check 명령어를 사용해본다.

nsp가 package.json안에 dependencies에 있는 내용들을 검색해서 그중 문제가 될만한게 있는지 없는지를 체크해주는 모듈이다.