了解helmet的使用

最新推荐文章于 2024-03-18 15:28:22 发布
最新推荐文章于 2024-03-18 15:28:22 发布
阅读量2.1k 收藏
点赞数
文章标签: node.js
原文链接:https://blog.csdn.net/weixin_34367257/article/details/88029619
版权

Helmet是什么?

helmetexpress的中间件,通过设置各种header来为express应用提供安全保护。虽然不能完全杜绝安全问题,但确实能提供某种程度的保护。

快速上手

helmet的使用非常简单。首先使用npm安装helmet

 

  1. npm install helmet --save

  2. 复制代码

其次在express应用中使用该中间件:

 

  1. const express = require('express')

  2. const helmet = require('helmet')

  3.  

  4. const app = express()

  5.  

  6. app.use(helmet())

  7. 复制代码

helmet包含了多个中间件,每个中间件既可以单独使用,也可以通过helmet()集中配置。以是否禁用缓存的noCache中间件为例:

单独使用中间件:

 

  1. app.use(helmet.noCache());

  2. 复制代码

helmet函数中配置:

 

  1. app.use(helmet({

  2. noCache: true

  3. }));

  4. 复制代码

我们接下来分别看一下几个主要的中间件的作用.

hidePoweredBy

攻击者可以针对X-Powered-By中暴露的服务器语言的漏洞进行攻击。

hidePoweredBy可以隐藏或混淆响应头中的X-Powered-By字段以迷惑攻击者。

 

  1. app.use(helmet.hidePoweredBy());

  2. 复制代码

也可以通过设置假的字段值来欺骗攻击者:

 

  1. app.use(helmet.hidePoweredBy({setTo: 'PHP 4.2.0'}));

  2. 复制代码

frameguard

攻击者骗取用户点击一个以iframe的方式隐藏的页面,来获取用户的信息。

frameguard通过设置x-frame-options来允许iframe的域。

 

  1. app.use(helmet.frameguard({action: 'deny'}));

  2. 复制代码

xssFilter

设置X-XSS-Protection提供基本的XSS防护,避免基本的反射性XSS攻击。

 

  1. // Sets "X-XSS-Protection: 1; mode=block".

  2. app.use(helmet.xssFilter());

  3. 复制代码

noSniff

如果响应头中Content-Type没有指定,浏览器默认会自动尝试识别响应体的内容以正确解析响应的文件。

设置 X-Content-Type-Optionsnosniff后,浏览器不再进行自动识别。这意味着响应的文件类型如果与Content-Type中声明的不一致,将会被浏览器屏蔽掉。

 

  1. app.use(helmet.noSniff());

  2. 复制代码

ieNoOpen

有些站点可能提供了HTML文件的下载,部分IE浏览器中,该文件会在站点的上下文打开,存在脚本注入的风险。

设置X-Download-Optionsnoopen不允许在在站点的上下文打开下载的HTML文件。

 

  1. app.use(helmet.ieNoOpen());

  2. 复制代码

hsts

设置Strict-Transport-Security告知用户在一定的时间段使用https访问。防止降级攻击和cookie劫持。

如下设置未来的90天内只使用https访问。

 

  1. app.use(helmet.hsts({maxAge: 7776000}));

  2. 复制代码

dnsPrefetchControl

dns-prefetch在提升网站性能的同时,潜在地会导致用户隐私泄露、dns服务过载、页面统计失真等问题。

dnsPrefetchControl通过将X-DNS-Prefetch-Control设置为off禁止浏览器进行DNS预解析。

 

  1. app.use(helmet.dnsPrefetchControl())

  2. 复制代码

app.use(helmet.contentSecurityPolicy()); // 内容安全策略
app.use(helmet.dnsPrefetchControl()); // dns预读取控制
app.use(helmet.expectCt()); // 证书透明度 (Certificate Transparency),防止错误签发的网站证书的使用不被察觉
app.use(helmet.frameguard()); // iframe访问策略,预防点击劫持
app.use(helmet.hidePoweredBy()); // 隐藏`X-Powered-By`头信息
app.use(helmet.hsts()); // HTTP严格传输安全协议(HTTP Strict Transport Security)
app.use(helmet.ieNoOpen()); // IE8特有,强制保存潜在不安全的下载
app.use(helmet.noSniff()); // 禁止嗅探MIME类型
app.use(helmet.permittedCrossDomainPolicies()); // 访问源策略控制
app.use(helmet.referrerPolicy()); // 引用策略
app.use(helmet.xssFilter()); // cross site script跨站脚本过滤

总结

以上简单介绍了helmet的用法和几个默认开启的中间件。helmet通过添加各种响应头来提供基本的安全防护。剩余未介绍到的中间件可以查阅其官方文档。

相关资源:前端开源库-koa-helmet

参考资料:https://blog.csdn.net/weixin_34367257/article/details/88029619

学海无涯之不悔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
express安全响应头中间件helmet
蛐蛐的博客
02-03 520
地址:https://github.com/helmetjs/helmet 1.简介 helmet可通过设置各种HTTP标头来帮助您保护Express应用程序。这不是灵丹妙药,但可以帮上忙! 2.快速入门 首先,运行npm install helmet --save您的应用程序。然后,在Express应用中: const express = require("express"); const helmet = require("helmet"); const app ...
[算法]Sliding Window 总结
johnli7777的博客
09-01 1372
Sliding Window(滑动窗口) 提示:本文所介绍的滑动窗口指的是滑动窗口算法(Sliding Window Algorithm)并非TCP协议中的滑动窗口 一、什么是滑动窗口? 滑动窗口算法多用于处理数组(Array), 字符串(String)或者链表(LinkedList)中关于子字符串(Substrings), 子数组(Subarrays, Sublists), 该算法可以将多重嵌套的循环转化为单循环,从而降低时间复杂度。滑动窗口是同向双指针的一个类型。 例如Leetcode中的这道题( 6
快速了解helmet使用
weixin_34367257的博客
11-01 2781
Helmet是什么? helmet是express的中间件,通过设置各种header来为express应用提供安全保护。虽然不能完全杜绝安全问题,但确实能提供某种程度的保护。 快速上手 helmet使用非常简单。首先使用npm安装helmet: npm install helmet --save 复制代码其次在express应用中使用该中间件: const express = require('...
node-npm安全性插件helmet(防护包含点击劫持、xss、嗅探攻击...)
momDIY的博客
08-08 5840
## helmet.js 基于node-express的一款安全防护中间件,可以通过设置各种HTTP标题来帮助您保护您的Express应用程序。
node后端helmet中间件
最新发布
T3165919332的博客
03-18 614
是一个 Node.js 的中间件,用于增强 Web 应用程序的安全性。它通过设置各种 HTTP 头来增加安全性,以防止一些常见的攻击。可以帮助你设置内容安全策略头部,以限制浏览器加载资源的来源,从而减少 XSS 攻击的风险。中间件,你可以方便地增强你的 Express 应用程序的安全性,减少一些常见的安全风险。可以帮助你设置缓存控制头部,以减少敏感数据的泄露和缓存中的信息泄露。头部,以防止浏览器进行 DNS 预取,减少敏感数据的泄露。可以帮助你防止 CSRF 攻击。头部,以减少信息泄露的风险。
防止暴露服务端技术之关闭X-Powered-By
Kratial的博客
04-29 879
防止暴露服务端技术,比如隐藏X-Powered-By(在服务器响应头中隐藏),这里使用的是中间件函数helmet: 1.未使用时,效果如下: 使用方式:app.use(helmet()) const express= require("express") const helmet = require('helmet') const app = express() function allowOrigin (req,res,next){ res.setHeader('Access-Control-All
Safety_Helmet_Detection.zip
11-26
用户可以通过这些文件了解模型是如何训练的,甚至可以直接部署到自己的项目中。 总的来说,这个项目展示了如何利用深度学习和YOLOv5技术来解决特定场景的安全头盔检测问题。通过高效的训练流程和高准确率,该系统...
前端开源库-koa-helmet
08-30
**标题与描述解析** 标题"前端开源库-koa-helmet"指出我们关注的是一个用于前端开发的开源库,它的名字叫"koa-helmet"。Koa是Node.js的一个Web应用...了解并正确使用Koa-helmet,是保障前端应用安全的关键步骤之一。
react-ReactHelmet这个可复用的React组件将管理对文档头的所有更改
08-14
下面,我们将深入探讨React Helmet的工作原理、使用方法以及其在React开发中的重要性。 一、React Helmet的基本概念 React Helmet的核心思想是将文档头的操作封装成React组件,使得在组件层次上就能控制文档头的...
session-authentication:使用Knex和Postgres用NodeExpress编写的基于会话的身份验证系统
05-01
会话认证 使用Knex和Postgres用Node / ...我构建此应用程序是为了了解有关身份验证和安全性的更多信息,并用作将来项目中的样板。 堆 节点 表示 Postgres 纳克斯 配套 argon2 express-session connect-session-kne
LDhelmet:精细重组率估算。-开源
05-30
LDhelmet 为精细尺度可变重组率估计执行统计推断。 黑腹果蝇两个种群的源代码和重组图可供下载。 参考资料:Andrew H. Chan、Paul A. Jenkins、Yun S. Song (2012)。 黑腹果蝇的全基因组精细重组率变化。 PLoS 基因 8(12):e1003090。 doi:10.1371/journal.pgen.1003090
cutchas:在绕过验证码的同时学习Javascript,Typescript和Python:smiling_face_with_sunglasses:
04-07
对验证码逻辑进行模糊处理,了解其工作原理等。 用Express编写后端 用React编写前端 Python / Jupyter笔记本: 编写脚本以尝试绕过验证码 SQLite: 存储所有难题(不再存在) MongoDB的 现在用来存储一切 :...
express 的安全中间件 helmet 简介
weixin_34376986的博客
08-07 1190
Helmet is a collection of 12 middleware to help set some security headers.helmet 是一个包括了12个中间件,用来设置一些安全的 headers 的集合。1. Content-Security-Policy: default-src 'self' the CSP module sets theContent-Secur...
helmet是一个保护Node.JS应用的安全项目
gwdgwd123的博客
02-17 762
helmet是一个保护Node.JS应用的安全项目 14-11-15banq #NodeJS#express#安全 Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。 一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacki...
js react Element type is invalid potential problem
JeffanChen的博客
05-06 362
Uncaught (in promise) Invariant Violation: Element type is invalid: expected a string (for built-in components) or a class/function (for composite components) but got: undefined. You likely forgot to export your component from the file it’s defined in, or
Koa笔记 02:常用中间件
Naisu的各种笔记
11-11 2058
文章目录目的总结 目的 总结
html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
weixin_31437695的博客
07-04 3351
漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面...
如何做好nodejs服务在服务器上的安全防护?
Daydream的博客
03-13 623
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。像nodejs的mysql模块中,为了防止SQL注入,可以传入参数进行编码。简单来说就是见用户的输入进行检查,避免用户输入中含有sql语句,是一种非常常见、高效的方法,但不是绝对安全的,假如你的验证做的不够彻底,那么就可能留出被攻击的窗口,不过因为其简便性,也是很多开发者选择的防范方法。
helmet detection dataset
08-01
Helmet detection dataset指的是一个用于训练和测试头盔检测算法的数据集。这个数据集通常包含了大量的头盔图像和相应的标注信息,包括图像中头盔的位置和类别。这些数据可以用来训练深度学习模型,使其能够自动地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值