我第一次尝试使用npm
模块,我正在尝试将helmet
实现到服务器模块中以设置安全标头。我知道helmet
适用于Express
,但我没有使用Express
。
我仍然可以在以下服务器模块中使用`helmet'吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用哪种“插件”进入下面的模块,还是应该以不同的方式进行攻击?
感谢您的帮助/输入。
'use strict';
var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');
var server;
module.exports = plugin;
function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};
var opts = options || {};
setDefaults(opts, defaults);
return function(files, staticsmith, done) {
if (server) {
done();
return;
}
var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});
server = require('http').createServer(function (request, response) {
request.addListener('end', function () {
fileServer.serve(request, response, function(err, res) {
if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);
response.writeHead(err.status, err.headers);
response.end("Not found");
} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});
}).resume();
}).listen(opts.port, opts.host);
server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});
log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};
function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}
function formatNumber(num) {
return num < 10 ? "0" + num : num;
}
function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}
答案 0 :(得分:5)
最佳解决方案是通过不使用任何类型的&#34;中间件&#34;来实施Security Headers
策略。通过不依赖于其他开发人员模块,这可以使服务器上的内容更简单,更清晰,更安全。
为此,我创建了一个security-config.json5
文件,其中包含易于维护和更新的设置:
module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};
以上设置是一个很好的起点,需要特别注意Content-Security-Policy
键/值的引号,但您可能需要对您的网站进行一些调整。我还将在此处展示如何实现CDN。
现在,在您的createServer()
功能中,您可以循环使用键:值对,并使用setHeader()
将它们添加到标题中:
var security_default = require('./security-config.json5');
for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}
npm上的Helmet
节点模块很棒,但它很臃肿(需要3MB的光盘空间)并且需要定期更新,而这种方法很轻(<850bytes ),可插拔和维护,适合那些不想使用中间件的人。