我写了一个node.js应用程序来处理业务网站上的处理表单。 这些表格可能包含敏感信息,所以我知道它需要一个SSL证书。 由于我不想从端口80服务我的节点应用程序,所以我使用Apache将它从端口3xxx代理到80。
然后,我从Let's Encrypt中生成了一个证书,我可以从443端口访问它。
我的问题:我的nodejs应用程序是否安全,即使它在代理之后?
安全是一个过程,而不是目的地。 没有“让我的东西安全”的开关,你可以翻转。
SSL / TLS只是这里图片的一小部分。 是的,保护客户端和服务器之间的连接是非常好的,但是如果应用程序存在漏洞,那么这样做也不会有什么好处。 坦率地说,如果存在安全问题,很可能是你的代码,而不是系统的其他部分。
所以 – 是的,你应该使用TLS。 这是正确的做法。 但是,您还需要查看所有其他涉及的组件,以确保它们的安全性。