参考答案

  • 定期请第三方机构做安全性测试,漏洞扫描
  • 使用第三方开源库做上线前的安全测试,可以考虑融合到CI中
  • code review 保证代码质量
  • 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等
  • 对第三方包和库做检测:NSP(Node Security Platform),Snyk