将NestJS应用中的代码安全风险降至最低（下）

2023-11-05 16:13:57

在第一部分中，我们探讨了四种常见的安全风险，以及在NestJS中规避这些风险的方法。值得注意的是，尽管这里使用了NestJS（作为我最喜欢的API框架之一），但这些最佳实践与框架无关。

现在，让我们继续深入探讨在NestJS应用程序中实现代码安全性的更多技巧和最佳实践。

5. 实现输入验证

输入验证是保护应用程序免受恶意输入的重要手段。在NestJS中，可以使用管道（Pipe）来轻松地实现输入验证。管道是一种用于对请求和响应数据进行转换和验证的类。

例如，以下管道可以用来验证请求体中的电子邮件地址：

import { PipeTransform, Injectable, ArgumentMetadata } from '@nestjs/common';

@Injectable()
export class EmailValidationPipe implements PipeTransform {
  transform(value: any, metadata: ArgumentMetadata) {
    if (!value || !value.email) {
      throw new BadRequestException('Email is required');
    }

    const re = /^(([^<>()[\]\\.,;:\s@"]+(\.[^<>()[\]\\.,;:\s@"]+)*)|(".+"))@((\[[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}])|(([a-zA-Z\-0-9]+\.)+[a-zA-Z]{2,}))$/;
    if (!re.test(value.email)) {
      throw new BadRequestException('Email is invalid');
    }

    return value;
  }
}

然后，可以在控制器中使用管道来验证请求体：

import { Controller, Post, UsePipes, Body } from '@nestjs/common';
import { EmailValidationPipe } from './email-validation.pipe';

@Controller('users')
export class UsersController {
  @Post()
  @UsePipes(EmailValidationPipe)
  createUser(@Body() user: CreateUserDto) {
    // ...
  }
}

6. 使用安全标头

安全标头是HTTP响应中的一组特殊标头，用于增强应用程序的安全性。在NestJS中，可以使用@Header()装饰器来设置安全标头。

例如，以下控制器方法将设置三个安全标头：

import { Controller, Get, Header } from '@nestjs/common';

@Controller()
export class AppController {
  @Get()
  @Header('Content-Security-Policy', "default-src 'self'; img-src 'self' data:; font-src 'self' data:; script-src 'self'; style-src 'self' 'unsafe-inline';")
  @Header('X-Content-Type-Options', 'nosniff')
  @Header('X-Frame-Options', 'DENY')
  getRoot() {
    return 'Hello, world!';
  }
}