2

npm第一次尝试使用模块,并尝试在helmet服务器模块中实现以设置安全标头。我知道这helmet是为了Express但我没有使用Express.

我还能在以下服务器模块中使用“头盔”吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么“插件”到下面的模块中,或者我应该以不同的方式攻击它?

感谢您的帮助/输入。

'use strict';

var helmet  = require('helmet')
  , web     = require('node-static')
  , chalk   = require('chalk');

var server;

module.exports = plugin;

function plugin(options) {
  var defaults = {
      cache: 0
    , port: 8080
    , host: "localhost"
    , verbose: false
  };

  var opts = options || {};

  setDefaults(opts, defaults);

  return function(files, staticsmith, done) {
    if (server) {
      done();
      return;
    }

    var docRoot = staticsmith.destination()
      , fileServer = new web.Server(docRoot, { cache: opts.cache});

    server = require('http').createServer(function (request, response) {

      request.addListener('end', function () {

        fileServer.serve(request, response, function(err, res) {

          if (err) {
            log(chalk.red("[" + err.status + "] " + request.url), true);

            response.writeHead(err.status, err.headers);
            response.end("Not found");

          } else if (opts.verbose) {
            log("[" + response.statusCode + "] " + request.url, true);
          }
        });

      }).resume();

    }).listen(opts.port, opts.host);

    server.on('error', function (err) {
      if (err.code == 'EADDRINUSE') {
        log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
        throw err;
      }
    });

    log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
    done();
  };

  function setDefaults(opts, defaults) {
    Object.keys(defaults).forEach(function(key) {
      if (!opts[key]) {
        opts[key] = defaults[key];
      }
    });
  }

  function formatNumber(num) {
    return num < 10 ? "0" + num : num;
  }

  function log(message, timestamp) {
    var tag    = chalk.blue("[staticsmith-serve]");
    var date   = new Date();
    var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
    console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
  }
}
4

1 回答 1

7

Security Headers最好的解决方案是通过不使用任何类型的“中间件”来实施策略。通过不依赖其他开发人员模块,这使服务器上的事情变得更简单、更干净、更安全。

为此,我创建了一个security-config.json5包含设置的文件,以便于维护和更新:

module.exports = {
  security: [
    { name:  'Cache-Control',
      value: 'public, max-age=30672000'
    },
    { name:   'server',
      value:  'mySpecial-Server'
    },
    { name:   'Strict-Transport-Security',
      value:  'max-age=86400'
    },
    { name:   'X-Content-Type-Options',
      value:  'nosniff'
    },
    { name:   'X-Frame-Options',
      value:  'DENY'
    },
    { name:   'X-Powered-By',
      value:  'Awesomeness'
    },
    { name:   'X-XSS-Protection',
      value:  '1; mode=block'
    },
    { name:   'Content-Security-Policy',
      value:  "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
    }
  ]
};

上述设置是一个很好的起点,特别注意Content-Security-Policy键/值的引号,但您可能需要对您的站点进行一些调整。我还在这里展示了如何实现 CDN。

现在在您的createServer()函数中,您可以遍历键:值对并使用以下命令将它们添加到您的标题中setHeader()

var security_default = require('./security-config.json5');

for(let i = 0; i < security_default.security.length; i++) {
  res.setHeader(
    security_default.security[i].name,
    security_default.security[i].value
  );
}

Helmetnpm 上的Node 模块很棒,但它很臃肿(需要 3MB 的磁盘空间)并且需要定期更新,而这种方法很轻(<850 字节),对于那些不想使用中间件的人来说是可插入和可维护的。

于 2015-12-16T19:40:22.447 回答