从项目创建与实现过程中接触到的相关库,做一下使用梳理和全面学习。
第一部分,基础库
前言
本节主要记录一些koa项目一定会使用到的基本相关库,如解决跨域的koa2-cors、解析body数据的koa-boby、静态资源的koa-static、以及koa-session
一、koa-cors
什么是跨域请求
当前发起请求的域与该请求指向的资源所在的域不一样。我们认为若协议 + 域名 + 端口号均相同,那么就是同域。出于安全起见,浏览器会对跨域请求进行限制,来抵制cors攻击。
跨域请求的方法
<script><img><iframe>等标签不受同源策略限制,拥有可以从不同域加载并执行资源的特性,来实现数据跨域传输。- 设置HTTP有关跨域请求的首部字段
Access-Control-Allow-Origin: <origin> | * // 说明服务器允许哪些域可以访问该资源
Access-Control-Allow-Methods: <method>[, <method>]* // 指明实际请求所允许使用的HTTP方法
Access-Control-Allow-Headers: <field-name>[, <field-name>]* //指明实际请求中允许携带的首部字段
Access-Control-Max-Age: <delta-seconds> //预检请求能够被缓存多久
Access-Control-Allow-Credentials: true //是否允许发送Cookie
通常我们只需将请求头部这样设置Access-Control-Allow-Origin:*即可解决跨域阻拦。而koa-cors库便是将这一过程封装起来,从而到达解决请求跨域问题。
koa-cors的使用
npm install koa-cors --save // 安装
import cors from 'koa2-cors'
const app = new Koa()
// 默认使用
app.use(cors())
// 跨域请求配置
app.use(
cors({
origin: function (ctx) { //设置允许来自指定域名请求
return '*';
},
maxAge: 5, //指定本次预检请求的有效期,单位为秒。
credentials: true, //是否允许发送Cookie
allowMethods: ['GET', 'POST', 'PUT', 'DELETE', 'OPTIONS'], //设置所允许的HTTP请求方法
allowHeaders: ['Content-Type', 'Authorization', 'Accept'], //设置服务器支持的所有头信息字段
exposeHeaders: ['auth', 'city'] //设置获取其他自定义字段
})
)
koa-cors组件使用起来非常的简单,只需安装完后在项目主文件中将其挂载在项目上即可,没有特殊需求,只需简单调用。默认设置已可以解决跨域问题。用户也可以自行配置想过跨域字段的值,通过options参数来传递配置。
二、koa-boby 与 koa-bodyparser
由于数据在传输过程中是以JSON格式进行传递的,如果使用原始node则需要对数据进行JSON转换,比较繁琐。因此使用koa-boby 与 koa-bodyparser包可以格式化传递的参数,使数据获取更便捷。
- 安装
yarn add koa-body
yarn add koa-bodyparser
npm install koa-body
npm install koa-bodyparser
koa-body的使用
koa-body可以处理请求数据类型为multipart/form-data、application/x-www-form-urlencoded、application/json、application/json-patch+json、application/vnd.api+json、application/csp-report、text/xml常规使用方式如下:
const koaBody = require('koa-body')
app.use(koaBody({
// 支持文件格式
multipart: true,
formidable: {
// 保留文件扩展名
keepExtensions: true,
}
}))
koa-body相关参数配置
patchNode {Boolean}: 在node里获取body数值的方式是否为 ctx.req, 默认为false
patchKoa {Boolean}: 在koa里获取body数值的方式是否为 ctx.request, 默认为true
jsonLimit {String|Integer} 可传输Json格式数据的大小, 默认为1mb
formLimit {String|Integer} 可传输form格式数据的大小, 默认为56kb
textLimit {String|Integer} 可传输text格式数据的大小, 默认为56kb
encoding {String} 编码方式的设置,默认为utf-8
multipart {Boolean} 是否支持 multipart-formdate 的表单,默认为 false
urlencoded {Boolean} 是否支持urlencoded 的表单, 默认为 true
text {Boolean} 是否解析text/plain 的表单, true
json {Boolean} 是否解析JSON格式,default true
jsonStrict {Boolean} 是否使用json严格模式,true 会只处理数组和对象 true
formidable {Object} 配置更多的关于multipart的选项
onError {Function} 自定义错误响应函数
parsedMethods {String[]} 指明要解析数据的请求方法,默认为 ['POST', 'PUT', 'PATCH'].
koa-bodyparser的使用
这个中间件可以将post请求的参数转为json格式返回
const bodyParser = require('koa-bodyparser')
app.use(bodyParser())
参数配置和koa-body类似,在此就不赘述。
三、koa-static
在网络请求中,请求往往分成两种类型,一种是静态资源,直接从服务器的文件存储中读取,一种是动态资源,一般需要先从数据库获取数据,然后经过一定的处理,最后返回给客户端。
在项目中使用koa-static中间件主要是为了获取服务器上存储的静态图片,将其传递给客户端。具体使用如下:
const koaStatic = require('koa-static')
app.use(koaStatic(root,opt))// root为静态文件路径,opt为相关设置
options的可选值
- maxage 浏览器缓存最大期限,默认0
- hidden 是否允许传输隐藏文件,默认 false
- index 默认文件名为 ‘index.html’
- defer 如果为true,则在返回next()之后进行服务,从而允许后续中间件先进行响应
- gzip 当客户端支持 gzip 并且存在扩展名为 .gz的请求文件时,是否自动提供文件的 gzip 版本。默认为 true.
- setHeaders 在响应时调用的头部设置函数.
- extensions 尝试匹配传递的数组中的扩展名,以便在 URL 中没有足够的扩展名时搜索文件,默认为true
四、koa-helmet
koa-helmet通过设置头部来保护应用程序安全的目的。此中间件可以抵御常规的web网络攻击。它提供了11个安全中间件。
- csp: 通过设置 Content-Security-Policy 来阻止 XSS 攻击和一些其他的跨站注入风险
- hidePoweredBy: 删除了 header 中的 X-Powered-By 标签
- noCache:设置 Cache-Control 关闭客户端缓存。
- hpkp:通过增加 Public key Pinning 来阻止伪造证书导致的中间人攻击。
- noSniff: 设置 X-Content-Type-Options 阻止浏览器 MIME-sniffing。
- frameguard:设置 X-Frame-Options 阻止点击劫持风险
- hsts: 设置 Strict-Transport-Security 来强制安全连接(http over SSL)到服务器(服务器需要支持 https)
- ieNoOpen:为 ie8 设置 X-Download-Options
- xssFilter: 设置 X-XSS-Protection 启用
使用方式
//统一调用
app.use(helmet());
// 局部组件调用
app.use(helmet.contentSecurityPolicy());
app.use(helmet.dnsPrefetchControl());
app.use(helmet.expectCt());
879
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
