Node.js / NestJS

Migliori pratiche di sicurezza

Helmet, CORS, rate limiting, sanitizzazione degli input, SQL injection, XSS, CSRF

25 domande da colloquio·
Senior
1

Che cos'è Helmet nel contesto di NestJS?

Risposta

Helmet è un middleware che configura automaticamente gli header HTTP di sicurezza per proteggere le applicazioni dalle vulnerabilità comuni. Abilita header come X-Frame-Options, Content-Security-Policy, X-Content-Type-Options per prevenire XSS, clickjacking e MIME sniffing. Helmet è una best practice essenziale in produzione per rafforzare la superficie di sicurezza.

2

Qual è il ruolo principale di CORS in un'API?

Risposta

CORS (Cross-Origin Resource Sharing) controlla quali domini esterni possono accedere alle risorse dell'API. Senza la configurazione di CORS, i browser bloccano le richieste provenienti da domini diversi per motivi di sicurezza. Configurare correttamente CORS previene gli errori di accesso mantenendo al contempo la sicurezza. Usa whitelist di origini consentite invece di autorizzare tutti i domini con un wildcard.

3

Qual è l'approccio migliore per proteggere un'API dagli attacchi brute force?

Risposta

Il rate limiting limita il numero di richieste per IP o utente in un dato periodo, prevenendo gli attacchi brute force automatizzati. Pacchetti come throttler-module in NestJS permettono di configurare facilmente limiti globali o per endpoint. Combina il rate limiting con strategie progressive (blocco temporaneo crescente) e CAPTCHA per gli endpoint sensibili. Il rate limiting protegge anche dagli attacchi denial of service.

4

Che cos'è un attacco XSS (Cross-Site Scripting)?

5

Come proteggere un'applicazione NestJS dalle SQL injection?

+22 domande da colloquio

Padroneggia Node.js / NestJS per il tuo prossimo colloquio

Accedi a tutte le domande, flashcards, test tecnici, esercizi di code review e simulatori di colloquio.

Inizia gratis