一、高德团队方案

（一）、本地

1、通过 loadtest压测
2、如若出现异常，通过node-heapdump对v8堆内存抓取快照, 并通过chrome开发者工具profiles来导入快照进行分析

（二）、线上

1、通过alimonitor、eagleeye等监控平台监控应用健康度
2、如若出现异常，通过alinode堆快照排查问题
3、如若异常难以复现，可以在预发或者隔离某台线上机器进行压测，压测能够有效放大问题
4、在压测过程中，通过alinode堆快照排查问题

二、清弦方案

（一）、内存泄漏检测

1、heapdump 内存快照的工具
2、chrome dev tools 中的 Memory Profiles

（二）、性能

1、压测所使用到的 WRK（Windows Research Kernel）【多核的多线程并发测试-不支持windows】；
2、性能分析所使用到的 Chrome 分析工具 JavaScript Profile。（v8-profiler库 Node版本低于10，高于10则使用 v8-profiler-next ）
3、 clinicjs 帮助诊断和查明 Node.js 性能问题的工具
https://clinicjs.org/?fileGuid=xxQTRXtVcqtHK6j8

（三）、安全

1、XSS
JSON.stringify方法
2、CSRF

a、 referer 的校验通用做法
b、后台服务在写操作时，使用 token 校验方式，这里我们应用的是 JWT，也就是在用户打开页面时，将 token 写入页面的隐藏元素中，当请求接口时从页面元素中获取 token，再传递到接口参数中，这样第三方站点因为没有打开页面是无法获取到这个 token 的

const baseFun = require('../lib/baseFun');
const whiteList = [
    '127.0.0.1:3000'
];
module.exports = function () {
    return async function ( ctx, next ) {
       if(ctx.request.headers.referer && !whiteList.includes(ctx.request.headers.referer)){
            baseFun.setResInfo(ctx, false, 'access have been forbidden', null, 403);
            return;
       }
       return await next();
    }
}

3、SQL 注入
转译

4、 DDOS
可以直接在网关层进行处理，如果真的没有网关层的话，可以考虑使用 NPM 中的一个ddos 库 https://www.npmjs.com/package/ddos
5、eval 函数
6、文件读写
7、非 root 用户权限

adduser username
chown -R /path

（四）、监控告警

1、Node.js 的 PM2 提供了付费服务
2、自己构建一套开源免费的 prometheus 服务
https://github.com/siimon/prom-client
3、业务告警方面：复用当前后台侧的业务告警系统或者prometheus也是可以的，又或者目前常用的一套组合系统Grafana（主要是监控系统界面操作平台）+InfluxDB（数据存储）+telegraf（数据采集）也可以
4、推荐使用alinode