我正在S3上托管一个静态React网站,并在EC2实例上运行我的服务器。我的生产版本通过Cloudfront运行,以附加HTTPS证书。
第三方进行了测试以搜索安全缺陷后,单击千斤顶,未设置X-Frame-Options,并且仍然存在缓慢的发布漏洞。
我希望Node / express服务器中的以下代码能够同时解决X-Frame-Options问题和点击顶升问题,但不确定,因为我相信(但非常不确定)这些解决方案可能需要在Cloudfront / AWS中完成。
app.use((req, res, next) => {
res.setHeader('X-Frame-Options', 'SAMEORIGIN');
next();
});
我还理解,防止慢速后攻击的一种方法是为端点设置超时(默认为2分钟)。我想知道建议的超时时间是什么(应该牢记上传文件的限制为40mb,并且用户可以在第一世界国家/地区使用各种互联网连接)以及在服务器中的哪个位置实施该操作?
预先感谢您提出任何解决方案/澄清说明。