Angular 安全检查表

在开发 Angular 应用程序时，我们需要高度重视安全性方面，以防止被黑客入侵！

我们可能通过多种方式将应用程序用户置于危险之中，他们可能成为跨站脚本(XSS) 或跨站请求伪造(CSRF) 等攻击的受害者。以下列出了您必须执行的基本检查，以提高应用程序的安全级别。

👉 使用HttpOnly和安全cookie，
👉使用强秘密对 cookie 和令牌（如 JWT）进行签名， 👉不要在 JWT 有效负载中存储敏感数据， 👉 确保您的 JWT 库不接受alg: none， 👉 通过HTTPS 传输所有数据， 👉 使用内容安全策略版本。 2， 👉 不允许内联脚本（无unsafe-inline）， 👉 使用所有外部脚本的完整性属性， 👉 避免使用 Angular 的bypassSecurityTrust*()方法， 👉 使用CSRF-Token进行 CSRF 保护， 👉 避免自定义身份验证库实现， 👉 检查所有API 端点是否进行基于角色的授权， 👉 使用AoT 编译进行模板检查。

您可以在这里获得免费的可打印清单：
⚡ Angular 安全清单 PDF ⚡

如果您了解所有检查，请在评论中告诉我，我将创建更多涵盖这些方面的内容！