如何向Firebase托管应用程序添加安全标头

时间:2019-11-06 14:23:52

标签: firebase firebase-hosting

我见过类似的问题,但没有一个能完全回答这个问题。因此,我有一个由Firebase托管的应用程序。我最近对其进行了一些渗透测试,并意识到我需要在网站上添加一些安全标头。

具体是:X-Frame-OptionsX-XSS-ProtectionX-Content-Type-Options。问题是我真的不知道该怎么做。经过一些研究,我可以看到将标头添加到我的Firebase应用程序的方法是将标头添加到我的firebase.json文件中,我将在这里显示

{
  "hosting": {
    "site": "xxxxxxxxxxxxxxxxx",
    "public": "dist/xxxxxxxxxxxx",
    "ignore": [
      "firebase.json",
      "**/.*",
      "**/node_modules/**"
    ],
    "headers" : [ {
      "source": "**",
      "headers" : [{
        "key" : "Access-Control-Allow-Origin",
        "value" : "*"
      }]
    }],
    "rewrites": [
      {
        "source": "**",
        "destination": "/index.html"
      }
    ]
  }
}

我需要将它们添加到该标题的“标题”部分吗?

对不起,我们深表歉意。

2 个答案:

答案 0 :(得分:2)

几乎完整的Firebase安全标头

我刚刚使用了report-uri.com

来创建您的内容安全策略
failed to decode downloaded font

答案 1 :(得分:0)

"headers" : [ {
      "source": "**",
      "headers" : [
        { "key" : "Access-Control-Allow-Origin", "value" : "*" },
        { "key" : "X-Frame-Options", "value" : "BLOCK" },
        { "key" : "X-Content-Type-Options", "value" : "nosniff" },
        { "key" : "X-XSS-Protection", "value" : "1; mode=block" }
      ]
    }],

这似乎工作得很好。