nan::nodejs_NodeJS安全标头：101

nan:: nodejs

当我们谈论任何Web应用程序的安全问题时&＃xff0c;它都是一个多维的方面&＃xff0c;它将涉及许多不同方面&＃xff1a;

• 表单验证
• 响应标头和内容安全策略
• 传输层加密&＃xff08;https&＃xff09;
• 跨站点请求伪造令牌/ JWT

如果您具有SSO集成和其他功能&＃xff08;根据您的用例&＃xff09;&＃xff0c;那么这些只是少数几个。

今天&＃xff0c;让我们研究一下大多数通用应用程序的设置响应头和CSP。

基本NodeJS应用程序的默认响应标头如下所示&＃xff1a;

首先从一个好的基础设置开始&＃xff0c;让我们研究一下头盔包。 它具有许多用于设置http标头的中间件。

只需使用这两行代码&＃xff0c;您的响应将如下所示&＃xff1a;

设置这些参数时必须小心&＃xff0c;因为错误配置的标头可能造成弊大于利。 例如&＃xff0c;如果您查看X-DNS-Prefetch-Control标头。

DNS预取大大提高了网页的性能&＃xff0c;因为它甚至可以在用户实际单击链接之前就解析DNS名称&＃xff0c;但是如果您正在创建银行项目&＃xff0c;则将其视为信息泄漏漏洞&＃xff0c;因此最好将其关闭。

头盔默认为您提供的其他标头是&＃xff1a;

• X框架选项
• 严格的运输安全
• X-Download-Options
• X内容类型选项
• X-XSS保护

现在&＃xff0c;研究有趣且同样棘手的内容安全策略

现代网络浏览器允许您限制使用Content-Security-Policy标头加载的资源。 它可以用来减少跨站点脚本和点击劫持的风险。

使用这些标头的一个非常基本的代码示例为&＃xff1a;

对于上面的代码片段标题将如下所示&＃xff1a;

要查找其他指令的更多详细信息&＃xff0c;请参阅文档

希望这可以帮助&＃xff01;

编码愉快&＃xff01;

翻译自: https://hackernoon.com/nodejs-security-headers-101-mf9k24zn

nan:: nodejs