Node.js 如何在节点服务器中实现头盔?[没有特快专递]
我第一次尝试使用Node.js 如何在节点服务器中实现头盔?[没有特快专递],node.js,npm,response-headers,helmet.js,Node.js,Npm,Response Headers,Helmet.js,我第一次尝试使用npm模块,并尝试在服务器模块中实现以设置安全头。我知道helmet是为Express设计的,但我没有使用Express 我仍然可以在以下服务器模块中使用“helmet”吗?如果是这样的话,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么将“插件”插入下面的模块,或者我应该以不同的方式攻击它 谢谢您的帮助/输入 'use strict'; var helmet = require('helmet') , web = require('node-stati
npmhelmetExpressExpress'use strict';
var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');
var server;
module.exports = plugin;
function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};
var opts = options || {};
setDefaults(opts, defaults);
return function(files, staticsmith, done) {
if (server) {
done();
return;
}
var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});
server = require('http').createServer(function (request, response) {
request.addListener('end', function () {
fileServer.serve(request, response, function(err, res) {
if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);
response.writeHead(err.status, err.headers);
response.end("Not found");
} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});
}).resume();
}).listen(opts.port, opts.host);
server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});
log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};
function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}
function formatNumber(num) {
return num < 10 ? "0" + num : num;
}
function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}
“严格使用”;
var helmet=require(‘helmet’)
,web=require('node-static')
,粉笔=要求(“粉笔”);
var服务器;
module.exports=插件;
功能插件(选项){
var默认值={
缓存:0
,端口:8080
,主机:“localhost”
,verbose:false
};
var opts=options | |{};
设置默认值(选项、默认值);
返回函数(文件、staticsmith、完成){
如果(服务器){
完成();
返回;
}
var docRoot=staticsmith.destination()
,fileServer=new web.Server(docRoot,{cache:opts.cache});
server=require('http')。createServer(函数(请求、响应){
request.addListener('end',function(){
serve(请求、响应、函数(err、res){
如果(错误){
日志(chalk.red(“[”+err.status+“]”+request.url),true);
response.writeHead(err.status,err.headers);
响应。结束(“未找到”);
}else if(选择详细){
日志(“[”+response.statusCode+“]”+request.url,true);
}
});
}).resume();
}).侦听(opts.port、opts.host);
server.on('error',函数(err){
如果(err.code=='EADDRINUSE'){
日志(粉笔红色(“地址”+opts.host+:“+opts.port+”已在使用”);
犯错误;
}
});
日志(chalk.green(“在http://“+opts.host+”:“+opts.port上提供“+docRoot+”));
完成();
};
函数设置默认值(选项、默认值){
Object.keys(默认值).forEach(函数(键){
如果(!opts[key]){
opts[key]=默认值[key];
}
});
}
函数formatNumber(num){
返回数值<10?“0”+num:num;
}
功能日志(消息、时间戳){
var tag=chalk.blue(“[staticsmith serve]”);
变量日期=新日期();
var tstamp=formatNumber(date.getHours())+“:”+formatNumber(date.getMinutes())+“:”+formatNumber(date.getSeconds());
日志(标记+(时间戳?“+tstamp:”)+“+消息);
}
}
安全头策略。这使得服务器上的事情更简单、更干净、更安全,不依赖于其他开发人员模块
为此,我创建了一个security config.json5
文件,该文件保存设置,便于维护和更新:
module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};
以上设置是一个很好的起点,请特别注意内容安全策略
键/值的引号,但您可能需要对站点进行一些调整。我还将在这里演示如何实现CDN
现在,在createServer()
函数中,可以循环遍历键:值对,并使用setHeader()
将它们添加到标题中:
var security\u default=require('./security config.json5');
for(设i=0;i
npm上的Helmet
节点模块很棒,但是它太大了(需要3MB的磁盘空间),需要定期更新,而这种方法很轻(
var security_default = require('./security-config.json5');
for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}