当我们谈论任何Web应用程序的安全问题时,它涉及的是多方面的内容:
- 表单验证
- 响应标头和内容安全策略
- 传输层加密(https)
- 跨站点请求伪造令牌/ JWT
这些只是少数,如果您根据用例具有SSO集成和其他功能,那么也会有其他一些。
今天,让我们研究一下大多数通用应用程序的设置响应头和CSP。
基本NodeJS应用程序的默认响应标头如下所示:
![](https://i-blog.csdnimg.cn/blog_migrate/8ac3bec7bfd0969300f600bf95c58abf.png)
首先从一个好的基础设置开始,让我们研究一下头盔包。 它具有许多用于设置http标头的中间件。
npm i helmet // to install helmet
const helmet = require (‘helmet’);
app.use(helmet());
只需使用这两行代码,您的响应将如下所示:
![](https://i-blog.csdnimg.cn/blog_migrate/35ed2bd65ae8fec352627a94c1f7fa0c.png)
设置这些参数时必须小心,因为错误配置的标头可能造成的弊大于利。 例如,如果您查看X-DNS-Prefetch-Control标头。
DNS预取大大提高了网页的性能,因为它甚至可以在用户实际单击链接之前就解析DNS名称,但是如果您正在创建银行项目,则将其视为信息泄漏漏洞,因此最好将其关闭。
头盔默认为您提供的其他标头是:
- X框架选项
- 严格的运输安全
- X-Download-Options
- X内容类型选项
- X-XSS保护
现在,研究有趣且同样棘手的内容安全策略
现代网络浏览器允许您限制使用Content-Security-Policy标头加载的资源。 它可以用来减少跨站点脚本和点击劫持的风险。
使用这些标头的一个非常基本的代码示例为:
app.use(helmet.contentSecurityPolicy({
directives : {
defaultSrc : [ "'self'" ],
styleSrc : [ "'self'" ],
scriptSrc : [ "'self'" , "'unsafe-inline'" ],
}
}));
对于上面的代码片段标题将如下所示:
default-src 'self' ; style-src 'self' ; script-src 'self' 'unsafe-inline'
要查找其他指令的更多详细信息,请参阅文档
希望这可以帮助!
编码愉快!
From: https://hackernoon.com/nodejs-security-headers-101-mf9k24zn