我写了一个博客文章，给了一个伟大的起点在 Writing Secure Express.js Apps.它涵盖了除了csrf和头盔之外的一些其他事情，如zeMirco所提到的。

另一件事是你不能将express.js与rails比较。他们是苹果和橘子。例如，没有与Express捆绑在一起的ORM，第三方模块的实现或使用取决于您。

我会尝试并提供您的每个关注的细目。

-Injection Vulnerabilities (JavaScript,SQL,Mongo,HTML)

再次，这些是不是建立在明确的事情。最近的事情是XSS担心模板中的注入。通常用于快速输出编码的Jade或EJS模板> “’和&默认情况下，但记住有其他上下文，如用户输入JavaScript或CSS，你需要担心。

-Session fixation and hijacking

再次看到上面的博客，但Express基于和使用大多数connect中间件其中之一是会话中间件。这里最大的是正确设置你的cookie标志。

-Cross-Site Vulnerabilities (Scripting,Request Forgery)

往上看。它还带有express.csrf()中间件。所提到的博客文章显示了如何实现它。

-Mass Assignment

不是express.js的问题，因为它没有概念，这种类型的漏洞将适用，然而你写的自定义逻辑可能事实上很容易受到这个问题，所以再次是一个问题，验证你的代码是否脆弱或如果您使用的第三方模块是…