gpt4 book ai didi

node.js - 如何将 Helmet 实现到 Node 服务器中? [没有 express ]

转载 作者:搜寻专家 更新时间:2023-11-01 00:23:29 25 4
gpt4 key购买 nike

我第一次尝试使用 npm 模块,我正在尝试实现 helmet进入服务器模块以设置安全 header 。我知道 helmet 是为 Express 设计的,但我没有使用 Express

我还能在以下服务器模块中使用 `helmet' 吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么来“插入”到下面的模块中,或者我应该以不同的方式进行攻击吗?

感谢您的帮助/意见。

'use strict';

var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');

var server;

module.exports = plugin;

function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};

var opts = options || {};

setDefaults(opts, defaults);

return function(files, staticsmith, done) {
if (server) {
done();
return;
}

var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});

server = require('http').createServer(function (request, response) {

request.addListener('end', function () {

fileServer.serve(request, response, function(err, res) {

if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);

response.writeHead(err.status, err.headers);
response.end("Not found");

} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});

}).resume();

}).listen(opts.port, opts.host);

server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});

log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};

function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}

function formatNumber(num) {
return num < 10 ? "0" + num : num;
}

function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}

最佳答案

最好的解决方案是通过不使用任何类型的“中间件”来实现Security Headers 策略。通过不依赖其他开发人员模块,这使服务器上的事情变得更简单、更干净和更安全。

为此,我创建了一个 security-config.json5 文件,其中包含便于维护和更新的设置:

module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};

以上设置是一个很好的起点,请特别注意 Content-Security-Policy 键/值的引号,但您可能希望对您的站点进行一些调整.我还在此处展示了如何实现 CDN。

现在在您的 createServer() 函数中,您可以遍历键值对并使用 setHeader() 将它们添加到您的 header 中:

var security_default = require('./security-config.json5');

for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}

npm 上的 Helmet Node 模块很棒,但它很臃肿(需要 3MB 的磁盘空间)并且需要定期更新,而这种方法很轻(<850bytes),对于那些不想使用中间件的人来说是可插入和可维护的。

关于node.js - 如何将 Helmet 实现到 Node 服务器中? [没有 express ],我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32592562/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com