如何将Helmet实现到节点服务器? [没有快递]

时间:2015-09-15 17:51:24

标签: node.js npm response-headers helmet.js

我第一次尝试使用npm模块,我正在尝试将helmet实现到服务器模块中以设置安全标头。我知道helmet适用于Express,但我没有使用Express

我仍然可以在以下服务器模块中使用`helmet'吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用哪种“插件”进入下面的模块,还是应该以不同的方式进行攻击?

感谢您的帮助/输入。

'use strict';

var helmet  = require('helmet')
  , web     = require('node-static')
  , chalk   = require('chalk');

var server;

module.exports = plugin;

function plugin(options) {
  var defaults = {
      cache: 0
    , port: 8080
    , host: "localhost"
    , verbose: false
  };

  var opts = options || {};

  setDefaults(opts, defaults);

  return function(files, staticsmith, done) {
    if (server) {
      done();
      return;
    }

    var docRoot = staticsmith.destination()
      , fileServer = new web.Server(docRoot, { cache: opts.cache});

    server = require('http').createServer(function (request, response) {

      request.addListener('end', function () {

        fileServer.serve(request, response, function(err, res) {

          if (err) {
            log(chalk.red("[" + err.status + "] " + request.url), true);

            response.writeHead(err.status, err.headers);
            response.end("Not found");

          } else if (opts.verbose) {
            log("[" + response.statusCode + "] " + request.url, true);
          }
        });

      }).resume();

    }).listen(opts.port, opts.host);

    server.on('error', function (err) {
      if (err.code == 'EADDRINUSE') {
        log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
        throw err;
      }
    });

    log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
    done();
  };

  function setDefaults(opts, defaults) {
    Object.keys(defaults).forEach(function(key) {
      if (!opts[key]) {
        opts[key] = defaults[key];
      }
    });
  }

  function formatNumber(num) {
    return num < 10 ? "0" + num : num;
  }

  function log(message, timestamp) {
    var tag    = chalk.blue("[staticsmith-serve]");
    var date   = new Date();
    var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
    console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
  }
}

1 个答案:

答案 0 :(得分:5)

最佳解决方案是通过不使用任何类型的&#34;中间件&#34;来实施Security Headers策略。通过不依赖于其他开发人员模块,这可以使服务器上的内容更简单,更清晰,更安全。

为此,我创建了一个security-config.json5文件,其中包含易于维护和更新的设置:

module.exports = {
  security: [
    { name:  'Cache-Control',
      value: 'public, max-age=30672000'
    },
    { name:   'server',
      value:  'mySpecial-Server'
    },
    { name:   'Strict-Transport-Security',
      value:  'max-age=86400'
    },
    { name:   'X-Content-Type-Options',
      value:  'nosniff'
    },
    { name:   'X-Frame-Options',
      value:  'DENY'
    },
    { name:   'X-Powered-By',
      value:  'Awesomeness'
    },
    { name:   'X-XSS-Protection',
      value:  '1; mode=block'
    },
    { name:   'Content-Security-Policy',
      value:  "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
    }
  ]
};

以上设置是一个很好的起点,需要特别注意Content-Security-Policy键/值的引号,但您可能需要对您的网站进行一些调整。我还将在此处展示如何实现CDN。

现在,在您的createServer()功能中,您可以循环使用键:值对,并使用setHeader()将它们添加到标题中:

var security_default = require('./security-config.json5');

for(let i = 0; i < security_default.security.length; i++) {
  res.setHeader(
    security_default.security[i].name,
    security_default.security[i].value
  );
}

npm上的Helmet节点模块很棒,但它很臃肿(需要3MB的光盘空间)并且需要定期更新,而这种方法很轻(<850bytes ),可插拔和维护,适合那些不想使用中间件的人。