NodeJS安全标头:101

最新推荐文章于 2023-01-11 10:11:46 发布
最新推荐文章于 2023-01-11 10:11:46 发布
阅读量216 收藏
点赞数
文章标签: 运维

当我们谈论任何Web应用程序的安全问题时,它涉及的是多方面的内容:

  • 表单验证
  • 响应标头和内容安全策略
  • 传输层加密(https)
  • 跨站点请求伪造令牌/ JWT

这些只是少数,如果您根据用例具有SSO集成和其他功能,那么也会有其他一些。

今天,让我们研究一下大多数通用应用程序的设置响应头和CSP。

基本NodeJS应用程序的默认响应标头如下所示:

首先从一个好的基础设置开始,让我们研究一下头盔包。 它具有许多用于设置http标头的中间件。 

npm i helmet // to install helmet
const helmet = require (‘helmet’);
app.use(helmet());

只需使用这两行代码,您的响应将如下所示:

设置这些参数时必须小心,因为错误配置的标头可能造成的弊大于利。 例如,如果您查看X-DNS-Prefetch-Control标头。

DNS预取大大提高了网页的性能,因为它甚至可以在用户实际单击链接之前就解析DNS名称,但是如果您正在创建银行项目,则将其视为信息泄漏漏洞,因此最好将其关闭。

头盔默认为您提供的其他标头是:

  • X框架选项
  • 严格的运输安全
  • X-Download-Options
  • X内容类型选项
  • X-XSS保护

现在,研究有趣且同样棘手的内容安全策略

现代网络浏览器允许您限制使用Content-Security-Policy标头加载的资源。 它可以用来减少跨站点脚本和点击劫持的风险。

使用这些标头的一个非常基本的代码示例为: 

app.use(helmet.contentSecurityPolicy({
directives : {
      defaultSrc : [ "'self'" ],
      styleSrc : [ "'self'" ],
      scriptSrc : [ "'self'" , "'unsafe-inline'" ],
    }
}));

对于上面的代码片段标题将如下所示: 

default-src 'self' ; style-src 'self' ; script-src 'self' 'unsafe-inline'

要查找其他指令的更多详细信息,请参阅文档

希望这可以帮助!

编码愉快!

From: https://hackernoon.com/nodejs-security-headers-101-mf9k24zn

dfsgwe1231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodejs-paris-csp
06-04
Javascript 中的 CSP 简介 2015 年 5 月 20 日在巴黎 Node.js 上的演讲随附的回购 安装 git clone git@github.com:DjebbZ/nodejs-paris-csp.git npm install 用法 运行npm run build并浏览文件index.html以查看结果。 阅读代码 为了破解它,有一个观察者可以在每个文件保存时重建 javascript。 要运行它, npm run watch 资源 在 Javascript 中关于 channel/csp 的材料很少,但是你可以在 Go 语言和 Clojure/ClojureScript (core.async) 中找到很多。 喜欢 Clojure 的资源,因为 js-csp 是从它移植过来的。 我在聚会期间展示的图片在
HTTP协议特性之CSP 指令——NodeJs
Science Explorer
08-25 767
一、Content-Security-Policy HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS)....
NodeJs C++ addon(插件nan方式)
technologyleader的专栏
08-23 1211
node c++ 插件 addon nan
Content Security Policy(简称CSP)浏览器内容策略的使用
热门推荐
zzk-神码都不懂-
03-04 2万+
首先要提一下,在做开发测试的过程中,使用chrome时,重新加载更改后的应用时(修改了后端代码的话),要记得清理下缓存。。。清理缓存。。。清理缓存。。。。 前言 最近,项目中需要增加一个代码高亮的小功能,于是在调研后就选择了Prism.js插件,小巧易用,赞!在使用过程中,却遇到了浏览器内容策略限制导致的错误。项目中掉用Prism.highlightElement()方法后,执行方法体
nodejs-packaging:OpenSUSE NodeJS打包模板
03-17
特定于分支的修补程序可以在PatchX:标头之后用PATCH_FOR行尾注释进行注释。 patch.pl脚本将解析并删除这些注释以及补丁程序和相关的%patchX语句。 例如 Patch10: foo.patch # PATCH_FOR: 4, 6 Patch11: goo....
nodejs-lab:学习 NodeJS 的实践培训
06-19
NodeJS实验室 本文档是一份正在进行的工作。 表中的内容 NodeJS 简介 CommonJS 模块 npm 介绍 全局变量、进程和缓冲区 异步模式 事件循环 异步函数 控制流和异常处理 沟通 事件发射器 簇 流 Socket.io RESTful API ...
jaeger-nodejs-example:用于Node.js微服务的Jaeger工具示例
05-05
您将学习微服务中的跟踪器是如何注入的 :syringe: 并提取 :eyes: 标头。 要求 :memo: 推荐使用 Active LTS 轻松启动多个node.js实例 在您的本地环境中设置Jeager收集器 如何设置所有这些并使之工作 :sparkles: ...
awesome-nodejs-security:令人敬畏的Node.js安全资源
02-04
精选的Node.js安全资源精选列表。 列表的灵感来自列表。 内容 工具类 Web框架强化 -头盔可通过设置各种HTTP标头来帮助您保护Express应用程序。 -koa-helmet通过设置各种HTTP标头来帮助您保护Koa应用程序。 用于...
MIE-W20-nodejs-projects:MIE-W20 NodeJS相关项目
05-22
MIE-W20 NodeJS项目 这里项目由在提供的与Web 2.0(MIE-W20)相关的课程主要基于 包括 通过网络模块的套接字服务(无状态和全状态) 基于套接字的类似HTTP的服务 基于弱和强ETag和最后修改的标头(ExpressJS和pure...
nan, node.js的本机抽象.zip
10-10
nan, node.js的本机抽象 Node.js的本机抽象add-on development macro开发的头文件 easier easier easier easier 1.0.10.0.12.0.3 。0.0.5.0 和0. 当前版本:2.8.0( 请参阅
nodejs的web安全示例代码|safety.zip
09-27
我也不知道为什么一定要大于50个字,这个只是文章的一个示例代码。-----------------------------------------------------------
default-srcself‘“‘script-src‘因为它违反了以下内容安全策略指令:“default srcself‘”。
Caiabcd的博客
05-04 1万+
错误信息 Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256- kPY6ovEPaw5y+RgWpejDaoJa2JT9tURMxvKvnhgv1XM='), or a nonce ('nonce-...')
node服务端可设置得 header头属性
weixin_44441196的博客
02-06 1200
1.Access-Control-Allow-Origin : string 设置那些域名可访问 2.Access-Control-Allow-Headers: string 设置请求头里面可以带那些属性,多个属性值用逗号隔开 eg:‘name,name1,name2’ 3.Access-Control-Allow-Methods: string 设置允许请求得方法,默认支持get,post; put等不支持 4.Access-Control-Allow-Credentials: boolea.
Nodejs安全学习
unexpectedthing的博客
02-21 2181
文章目录Nodejs的文档弱类型大小写比较js大小写绕过ctfshow web334ES6模板字符串命令执行ctfshow web335ctfshow web336数组绕过ctfshow web337原型链污染概念介绍ctfshow web338VM沙盒逃逸知识点CTF题目参考文献 Nodejs的文档 http://nodejs.cn/learn 弱类型 大小写比较 跟php比较相似 console.log(1=='1'); //true console.log(1>'2'); //false co
nodejs后端_如何使Nodejs后端安全
编程故事的地方
01-08 1081
nodejs后端 如您所知,如今对于所有类型的初创公司来说,安全性都变得越来越重要。 作为启动所有者,首先应注意Web应用程序的安全性。 请记住,用户信任您的信息,因此您应该专业地关心他们的数据,否则,如果有人黑客您的Web应用程序并窃取了数据,您将失败并失去客户。 建立一个Saas业务或众包平台都没关系。 您收集什么样的数据都没有关系。 您必须关心平台的安全性。 我们将在本教程中介...
nodejs安全
qq_35264936的博客
07-11 783
nodejs安全 sql注入:窃取数据库内容 xss攻击: 窃取前端的cookie内容 密码加密:保障用户信息安全 server端攻击方式非常多,预防手段也多 通过webserver(nodejs)层面预防的 有些攻击需要硬件和服务来支持(需要op支持)如 DDOS sql注入 最原始最简单的攻击,从web2.0就有了sql注入攻击 攻击的方法: 输入一个sql片段,最终拼成一段攻击代码 执...
Node.js 应用开发详解13 网络安全:常见网络攻击以及防护策略
fegus的博客
09-28 1743
本讲介绍了常见的一些网络攻击方案,其次着重介绍了在 Node.js 中要注意的安全风险问题。网络攻击一般是面试中常被问及的题目,因此我们需要着重学习其原理,其次针对 Node.js 的安全问题则是你在编码过程中非常要注重的,避免在应用 Node.js 的过程中导致企业受到损失。如果你还有其他的一些安全性问题,也可以在本讲下面进行留言,我将和你一起探讨如何解决这些线上安全问题。下一讲我们将介绍一个可以轻松地协助我们来做各种性能提前校验的工具,其次会实践应用该工具融合到我们的框架中。
Nodejs安全清单
Jinmindong
01-11 529
*安全是不容忽视的,**每个开发者都知道它非常重要,真正严肃对待它的却没有几人。我们 RisingStack 希望你能认真对待这一问题——这就是我们整理这份清单来帮助你的原因,你的应用在被成千上万用户使用前必须要做安全检查。这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。
Node.js插件编写(2)-通过NAN编写简单插件入门
Programmer小卫
12-27 2144
上一篇文章我们介绍了通过Node-Api的方式编写一个插件,并且导出一个函数hello, 这篇文章我们介绍另一种插件开发方式NAN,NAN是出现在Node-Api之前的一种插件开发方式,采用的也是C++的封装。 读本文内容仍然需要有C/C++开发基础,如没有请忽略。 环境准备 Python 3.x环境 Node.js 15.x+ gcc 8.2.x /VC2022 MacOS /Windows 编写项目代码 创建插件文件夹,并创建package.json文件内容如下, 依赖中我们引用了na
nodejs SyntaxError: Unexpected identifier
最新发布
07-28
回答: 出现"nodejs SyntaxError: Unexpected identifier"错误通常是由于JavaScript脚本中存在语法错误导致的。你已经检查了脚本并确认没有语法错误,那么可能是其他原因导致的错误。根据你提供的引用内容,有几个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值