NodeJs头盔HSTS配置

时间:2019-12-17 16:51:11

标签: node.js express

我对NodeJ并不是很熟悉,但是被要求支持NodeJs应用程序以解决已知的安全漏洞。我在NodeJ上使用Express Web服务器。要求是使用hsts。因此,我安装了头盔模块并添加了以下代码:

app.use(helmet.hsts());

我相信hsts模块将强制客户端通过https建立连接,并且不支持通过http连接。

问题:这是否意味着现在必须为NodeJs Express服务器授予SSL证书。

Qu

1 个答案:

答案 0 :(得分:0)

可以这样做,但这不是必需的。 如果您想要这样做,请导入https并从中创建服务器,而不是http

const app = require('express')();
const https = require('https');
const fs = require('fs');

// ...

https.createServer({
    key: fs.readFileSync('./key.pem'),
    cert: fs.readFileSync('./cert.pem'),
    passphrase: 'YOUR PASSPHRASE'
}, app)
.listen(443);

另一种流行的解决方案是仍然使用纯HTTP运行应用程序,然后在其前面使用代理(例如NGINX,HAProxy或Apache)来执行SSL并建立与客户端的连接。

例如这是NGINX(应用程序在http://localhost:3000上运行)的示例

server {

    listen 443;
    server_name yourhost.domain.com;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    location / {

      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;
      proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header        X-Forwarded-Proto $scheme;

      # Fix the “It appears that your reverse proxy set up is broken" error.
      proxy_pass          http://localhost:3000;
      proxy_read_timeout  90;

      proxy_redirect      http://localhost:3000 https://yourhost.domain.com;
    }
  }
相关问题
最新问题