Angular9 安全
2020-07-08 14:59 更新
Web 应用程序的安全涉及到很多方面。针对常见的漏洞和攻击,比如跨站脚本攻击,Angular 提供了一些内置的保护措施。本章将讨论这些内置保护措施,但不会涉及应用级安全,比如用户认证(这个用户是谁?)和授权(这个用户能做什么?)。
要了解更多攻防信息,参见开放式 Web 应用程序安全项目(OWASP)。
你可以在 Stackblitz 中试用并下载本页的代码。
最佳实践
- 及时把 Angular 包更新到最新版本。 我们会频繁的更新 Angular 库,这些更新可能会修复之前版本中发现的安全漏洞。查看 Angular 的更新记录,了解与安全有关的更新。
- 不要修改你的 Angular 副本。 私有的、定制版的 Angular 往往跟不上最新版本,这可能导致你忽略重要的安全修复与增强。反之,应该在社区共享你对 Angular 所做的改进并创建
Pull Request
。
- 避免使用本文档中带“安全风险”标记的 Angular API。 要了解更多信息,请参阅本章的 信任安全值 部分。
审计 Angular 应用程序
Angular 应用应该遵循和常规 Web 应用一样的安全原则并按照这些原则进行审计。Angular 中某些应该在安全评审中被审计的 API( 比如bypassSecurityTrust API)都在文档中被明确标记为安全性敏感的。
以上内容是否对您有帮助:
更多建议: