Security 反向代理是否使node.js安全？

我想把node.js放在一个有敏感公司信息的应用程序的云上。我担心node.js不像一些较旧的服务器那样安全，因为它还没有广泛使用过。我看到有人建议使用反向代理使其更安全。我知道它是如何安全的，因为它没有直接接触到世界。但是，xss和其他攻击仍然是可能的。仅从安全的角度来看，有人认为No.js与旧服务器相当吗？关于“如何说服你的老板+公司安全团队”的任何提示？

理论上，反向代理不会传递它自己无法处理的任何请求（包括它设计为故意阻止的请求）

但是，如果node.js上有bug，例如，当请求

GET /x0c/xa0

则代理将只传递该请求并将答案转发给客户端（攻击者）

---

<> P/> P.T.为什么不在Python、C++等上创建硬核锁代理，来控制访问？通过此代理的每个人都是受信任的用户，node.js与他们一起工作。

说服上司和安全团队的方法是证明您已经仔细考虑了这些问题，并有一个合理而现实的计划来测试它们

在任何公司环境中，您的代理只会是整体安全性的一小部分，这就是风险管理的方式

为了测试类似的东西，您需要在代理上抛出一些*不*合理的请求。例如，我喜欢juand的建议，你也应该向代理抛出非常大的请求

---

Node.js代理应该至少与Apache或定制python/c++代理一样安全，因为您只需要允许它代理非常特定的项目。

我认为这不是对OP的真正回答。如果它是公司级的，您应该将它放在NAT（防火墙）后面。node.js也可以非常安全地抵御大多数攻击。@阿尔弗雷德：谢谢，但“抵御大多数攻击非常安全”并不能说服公司安全团队。此外，这是一款云应用程序，它并不在公司NAT背后。你的问题与现实相去甚远。事件“旧版本”容易受到xss和其他攻击，而这是代码中的错误，而不是服务器。从这个角度来看，较旧的服务器和NodeJ一样不安全。反向代理只能在代理服务器检测到格式错误的http请求（协议错误）时保护您，例如“http.createserver”并放弃请求，但nodejs中的一个逻辑错误会暴露敏感信息。@Yaron我认为很难说服公司安全团队相信一个新的产品是node.js…@Tobias旧服务器仍然易受攻击的事实只说明了这个问题有多困难。虽然我同意大多数问题都存在于用户代码中，但node.js仍会进行一些解析，例如填写请求/响应对象等。因此，我的问题是，反向代理无法缓解哪些风险，以及是否存在任何已知的基准测试或任何其他可以表明node.js是安全的。