Angular9 安全

Web 應(yīng)用程序的安全涉及到很多方面。針對(duì)常見(jiàn)的漏洞和攻擊，比如跨站腳本攻擊，Angular 提供了一些內(nèi)置的保護(hù)措施。本章將討論這些內(nèi)置保護(hù)措施，但不會(huì)涉及應(yīng)用級(jí)安全，比如用戶(hù)認(rèn)證（這個(gè)用戶(hù)是誰(shuí)？）和授權(quán)(這個(gè)用戶(hù)能做什么？)。

要了解更多攻防信息，參見(jiàn)開(kāi)放式 Web 應(yīng)用程序安全項(xiàng)目(OWASP)。

你可以在 Stackblitz 中試用并下載本頁(yè)的代碼。

最佳實(shí)踐

• 及時(shí)把 Angular 包更新到最新版本。 我們會(huì)頻繁的更新 Angular 庫(kù)，這些更新可能會(huì)修復(fù)之前版本中發(fā)現(xiàn)的安全漏洞。查看 Angular 的更新記錄，了解與安全有關(guān)的更新。

• 不要修改你的 Angular 副本。 私有的、定制版的 Angular 往往跟不上最新版本，這可能導(dǎo)致你忽略重要的安全修復(fù)與增強(qiáng)。反之，應(yīng)該在社區(qū)共享你對(duì) Angular 所做的改進(jìn)并創(chuàng)建 Pull Request。

• 避免使用本文檔中帶“安全風(fēng)險(xiǎn)”標(biāo)記的 Angular API。 要了解更多信息，請(qǐng)參閱本章的 信任安全值 部分。

審計(jì) Angular 應(yīng)用程序

Angular 應(yīng)用應(yīng)該遵循和常規(guī) Web 應(yīng)用一樣的安全原則并按照這些原則進(jìn)行審計(jì)。Angular 中某些應(yīng)該在安全評(píng)審中被審計(jì)的 API（ 比如bypassSecurityTrust API）都在文檔中被明確標(biāo)記為安全性敏感的。