【最佳实践】如何修改 Express 服务响应头?

已于 2023-03-28 19:11:47 修改
阅读量1.6k 收藏 1
点赞数 2
分类专栏: 杂记 文章标签: express 安全 网络 http
于 2022-12-14 10:05:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44749240/article/details/128308781
版权

📘 欢迎关注博主的掘金:暮星的主页

目录

背景

最近在尝试修复工作项目中 Express 服务的 WebInspect 扫描报告指出的漏洞,其中有涉及到需要修改服务响应头的部分。以前没怎么研究过 Express,正好借此机会实践一下。

📣 版本
node : 14.17.6
express : 4.17.1

关于 WebInspect

Micro Focus Fortify WebInspectMicro Focus 公司旗下的一款企业级 Web 应用程序安全分析产品。

如今,很多代码管理制度完善的公司都把 WebInspect Scan 作为常规化 Security Scan 的其中一环,甚至集成到 CI/CD 流程中。

通常使用它的方式就是把要扫描的 Web url 或者 API url(基于所选择的扫描类型) 提供给 WebInspect 客户端,根据引导进行一些设置后开始扫描。

在这里插入图片描述
扫描过程中 WebInspect 会根据应用程序的行为和环境,多次从多角度进行定制访问攻击,找出可能存在的安全漏洞,并将它们归为 CriticalHighMediumLow 等几个风险等级,最终生成 Scan Report,其中会提供漏洞说明、解决方案、预防未来等内容。

报告分析

从扫描报告来看,目前应用有以下几个 vulnerability:

  • Cached SSL Content
  • Browser Mime Sniffing is not disabled
  • Missing HTTP Strict-Transport-Security Header
  • Inadequate Cross Site Scripting Header Protection

报告指出这些漏洞都与响应头有关,要么是某个字段的值有风险,要么是缺少了某个字段。
于是我在本地把项目 run 起来,随便找了个响应的资源查看响应头。

在这里插入图片描述
结果确实和报告的描述一致,而按照报告的修复建议,我需要对所有请求的响应头做如下更改:

    // 修改字段
    Cache-Control: no-store           // fix --> Cached SSL Content
    
    // 添加字段
    X-Content-Type-Options: nosniff   // fix --> Browser Mime Sniffing is not disabled
    X-XSS-Protection: 1; mode=block   // fix --> Inadequate Cross Site Scripting Header Protection
    Strict-Transport-Security: 3600   // fix --> Missing HTTP Strict-Transport-Security Header

具体为什么添加某个字段,可以修复某个漏洞,本文不做深究。
如感兴趣,可根据列出的漏洞名目,自行搜索。

修复

首先看看现有的服务架构:

    // ... other code ...
    const express = require('express');
    const app = express();
    
    const port = xxx;
    const targetDir = xxx;
    
    app.use(express.static(targetDir));
    app.listen(port, async function() { xxx });
    // ... other code ...

嗯…很经典的静态资源服务器写法,服务所有要访问的静态资源都放到了 targetDir 下,app.listen 开启一个端口来监听所有的 HTTP 请求,然后用 app.use 将所有来自 '/' 及其子路径下的请求先交给 Express 内置的提供静态资源服务的中间件 express.static 处理,让其提供 targetDir 下的对应文件。

于是,我们主要有两种方法在此基础上修改所有请求的响应头:

  • 在路由之前放置一个中间件,统一修改请求的响应头
    // ... other code ...
    const express = require('express');
    const app = express();
    
    const port = xxx;
    const targetDir = xxx;
    
    app.use((req, res, next) => {
        res.set('X-Content-Type-Options', 'nosniff');
        res.set('Cache-Control', 'no-store');
        res.set('X-XSS-Protection', '1; mode=block');
        res.set('Strict-Transport-Security', '3600');
        next();
    });
    
    app.use(express.static(targetDir));
    app.listen(port, async function() { xxx });
    // ... other code ...
  • 偶然看到 express.static 有额外的参数 setHeaders,可以在提供静态资源的时候,为其设置响应头,点此了解详情
    // ... other code ...
    const express = require('express');
    const app = express();
    
    const port = xxx;
    const targetDir = xxx;
    
    let options = {
        setHeaders: (res, path, stat) => {
            res.set('X-Content-Type-Options', 'nosniff');
            res.set('Cache-Control', 'no-store');
            res.set('X-XSS-Protection', '1; mode=block');
            res.set('Strict-Transport-Security', '3600');
        }
    };
    
    app.use(express.static(targetDir, options));
    app.listen(port, async function() { xxx });
    // ... other code ...

OK,生效了,收工下班 ╰(‵□′)╯

在这里插入图片描述

写在最后

One day you’ll leave this world behind. So live a life you will remember ! — Avicii

我是暮星,一枚有志于在前端领域证道的攻城狮。

优质前端内容持续输出中…,欢迎点赞 + 关注 + 收藏

在这里插入图片描述

DUSK-STAR
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Express响应设置
qq_45569925的博客
05-09 287
Express框架封装了一些API来方便给客户端响应数据,并且兼容原生HTTP模块的获取方式。
set-headers:ExpressConnect中间件可基于全局设置响应
05-22
设定标题 Express / Connect中间件可基于全局设置响应 安装 npm install set-headers --save 用法 var express = require ( 'express' ) ; var setHeaders = require ( 'set-headers' ) ; var app = express ( ) ; app . use ( setHeaders ( { '/some/path/**/*.json' : { 'Content-Type' : 'application/json' } } ) ) ; app . listen ( 3000 , function ( ) { } ) ; 运行测试 npm install npm test
express框架的响应设置
最新发布
2301_76669854的博客
05-19 282
express框架封装了一些API来方便获取请求报文中的数据.且兼容原生http模块的获取方式
如何拦截响应内容并修改响应
hst_gogogo的博客
10-20 1101
当Content-Type设置为application/pdf时,浏览器会知道响应的内容是PDF文件,并采取相应的措施来正确地显示和渲染该文件(看浏览器能力,是解析还是下载,如果浏览器有内置pdf解析器或有解析插件就会解析该文档然后渲染文档内容)。请求,我们能用这种方法下载文件是因为:当使用window.open(url)时,浏览器会新开一个窗口或标签页(没带_self的情况)并尝试对给定的url进行导航/渲染,如果url指向的是个文件并且正确配置了响应,浏览器会尝试直接下载该文件。
Express响应
小秀的博客
03-12 525
【代码】【Express】请求响应
修改HTTP响应,伪装一下你的WEB服务
weixin_30591551的博客
07-09 454
转自:http://hi.baidu.com/houwenbin1986/item/7fe62ae39c4f1e246dabb880 修改HTTP响应,伪装一下你的WEB服务器 大家可能知道:百度把他的Apache改成了BWS,Google改成了GWS)那我们也来自恋一把,改成我们自己喜欢的SWS:一、Apache21、下载Apache源码包:httpd-2.2.19.tar....
express中间件当做前端服务器的安全漏洞处理
02-27
在使用Express作为前端服务器的过程中,安全是至关重要的。Express是一个流行的Node.js框架,它简化了构建Web应用和服务的过程。...开发者应始终关注最新的安全最佳实践,以保护应用程序免受攻击。
服务器架构的最佳实践.docx
06-08
以下是一些关于无服务器架构的最佳实践: 1. **抛弃Python**: 在文中提到,Python Flask框架在无服务器场景下显得不太适合,因为其基于传统的请求-响应模式,而在交互式网络应用中,JavaScript更为合适。作者推荐...
vue 打包后的文件部署到express服务器上的方法
08-29
Vue.js 是一个渐进式前端框架,专注于视图层...在开发过程中,持续学习和了解最佳实践,可以帮助提升项目的质量和可维护性。如果你在部署过程中遇到任何问题,欢迎提问,我们将尽心为你解答。感谢你对我们网站的支持!
快递代拿系统,SSM框架的最佳实践.rar
02-11
这个“快递代拿系统,SSM框架的最佳实践”项目,旨在通过实际应用来展示如何有效地利用SSM框架构建一个高效、稳定的业务系统。下面我们将详细探讨这个系统中的关键知识点。 首先,Spring框架作为基础,它提供了依赖...
nodeJS中express框架设置全局跨域请求
毛毛虫博客
05-02 8824
本文即将迁移至个人网站程序员导航站 - 博客栏 无任何广告,用户体验极好,观感极佳。欢迎各位大哥将其设为首页。 求您了,设个浏览器首页吧!====》https://iiter.cn //设置跨域请求 router.all('*', function(req, res, next) { res.header("Access-Control-Allow-Origin...
12-HTTP-response设置响应
记录java学习日常~
06-04 4906
【代码】12-HTTP-response设置响应
Express设置主机
互联网-从零开始
11-18 3391
摘自 https://github.com/visionmedia/express/blob/master/examples/vhost/index.js /** * Module dependencies. */ var express = require('../..'); /* edit /etc/hosts: 127.0.0.1 foo.example.com 127.0.0.1 bar.
express 设置header解决跨域问题
w36680130的博客
03-21 351
express 设置header解决跨域问题
nodejs express设置请求允许跨域,自定义了请求,就会多发送一次options请求
艾小逗
12-02 6488
nodejs express设置请求允许跨域 设置请求允许跨域请求 app.js 文件中添加 代码 var app = express(); app.all('*', function (req, res, next) { // 设置请求为允许跨域 res.header('Access-Control-Allow-Origin', '*'); // 设置服务器支持的所有信息...
使用Express框架简单创建服务器实现跨域,JS发送AJAX请求并更改信息
weixin_42390185的博客
10-15 587
Express创建服务器,实现跨域请求。
Express-1
leixu4466的博客
03-20 628
express用法与设置初始跨域
express之请求和响应对象
DanceLynx的博客
12-09 658
请求报 如果想查看浏览器发送的信息,可以 创建一个非常简单的 Express 路由来展示一下:router.get("/headers",function(req,res,next){ res.set("Content-Type","text/plain"); var s = ""; for(var name in req.headers) s += n
express 面试常问问题及答案
04-01
1. 你最擅长哪些方面的开发? 这个问题的答案将基于你的技能和经验。你可以介绍你最擅长的技能,比如你是否擅长前端开发、后端开发、数据库管理、安全性等方面。 2. 你对 Express 有多少了解? 对于这个问题,你需要介绍自己对 Express 的基础知识,比如它是一个基于 Node.js 的 Web 应用程序框架,它可以帮助你轻松地创建 Web 服务器和 API。 3. 你是否使用过 Express? 如果你使用过 Express,你可以介绍一些你开发的项目,包括它们使用的 Express 版本以及你遇到的任何挑战和解决方案。 4. 你如何使用中间件? 你需要介绍中间件的基本概念,以及如何使用它们来处理请求和响应。你可以通过代码片段来演示你如何使用中间件。 5. 你如何处理 Express 中的错误? 你需要介绍如何处理错误,包括如何使用错误处理中间件和如何捕获和处理错误。 6. 你如何部署 Express 应用? 你可以介绍如何将你的应用程序部署到生产环境中,包括如何配置服务器和如何使用 PM2 进行进程管理。 7. 你如何处理身份验证和授权? 你需要介绍如何使用 Passport.js 或其他身份验证和授权库来保护你的应用程序。 8. 你如何测试 Express 应用? 你可以介绍如何编写单元测试和集成测试,并使用 Mocha、Chai 或其他测试库进行测试。 9. 你如何处理跨域请求? 你需要介绍如何使用 CORS 中间件来处理跨域请求,以及如何配置它以允许特定的跨域请求。 10. 你如何优化 Express 应用程序的性能? 你需要介绍一些技巧和最佳实践,包括使用缓存、压缩和优化数据库查询等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DUSK-STAR

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值