问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
content-security-policy - 如何使用 CSP 在 JS 中包含服务器变量?
在我的应用程序中,我有一些服务器变量:
这用于设置例如window.serverVars.countryCode
由服务器使用 geoIP 确定的 countryCode。
现在在 CSP 中,这被认为unsafe-inline
通常是不好的。那么最好的方法是什么:
- 使用 nonce 很困难:nonce 每个请求都是唯一的,并且大多数 CSP 库(例如 Helmet)认为 CSP 策略是静态的
- 使用哈希很困难: serverVars 的值对于每个请求都是唯一的,并且大多数 CSP 库(例如Helmet)认为 CSP 策略是静态的
unsafe-inline
forscript-src
被认为是不安全的
使用 CSP 将动态服务器变量添加到客户端 JavaScript 的最佳方法是什么?
node.js - 如何在节点服务器中实现 Helmet?[无快递]
我npm
第一次尝试使用模块,并尝试在helmet
服务器模块中实现以设置安全标头。我知道这helmet
是为了Express
但我没有使用Express
.
我还能在以下服务器模块中使用“头盔”吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么“插件”到下面的模块中,或者我应该以不同的方式攻击它?
感谢您的帮助/输入。
javascript - Express.js - Helmet.js 和其他中间件,以及挂载的应用程序?
在最近的一个学习项目中,我使用三个 Express.js 应用程序将项目分成更易于管理的部分。
一个应用程序是“主要”应用程序,即侦听连接的应用程序。另外两个安装在主应用程序的特定路线上。
调用app.disable('x-powered-by');
主应用程序来禁用 X-Powered-By 标头是否足够,或者这是否需要在每个已安装的应用程序中完成?
同样,我正在考虑使用 Helmet.js 来尝试为整个项目添加一些额外的安全性。在主应用程序中包含来自 Helmet.js 的任何中间件是否足够,或者这些也需要在挂载的应用程序中定义?
我不觉得我理解某些设置和中间件如何影响已安装的 Express.js 应用程序,并且希望任何有更多经验的人提供进一步的解释。
编辑:在使用app.disable('x-powered-by')
并检查来自服务器的响应之后,如果我没有在主应用程序实例和任何已安装的应用程序实例中禁用它,则会出现 X-Powered-By 标头。因此,我假设 Helmet.js 中间件的运行方式相同,但我不是 100% 确定。谁能确认这是否是预期的行为?
node.js - expressjs 头盔 cps 字体问题
我添加了头盔功能来设置 CPS,但是字体存在问题。一个简单的例子如下:
但是,它会正确加载所有资产,但它抱怨的字体除外。
示例.css
Example.com
在浏览器中它给了我这个字体的错误信息
我是否缺少使字体在浏览器中工作的东西?
在快递中,我确保正确设置公共和资产文件。(资产中的一切工作正常)。
javascript - React Helmet 可以将 javascript 对象注入标签吗?
我有一个问题,我需要在HEAD标记中注入一个 javascript 对象,以进行标记管理。这是我的Helmet组件,但它只接受通过 rewind() 函数设置到元数据服务器端的特定参数。
有没有办法仍然使用 React Helmet 来做我需要的事情,所以,将 javascritpt 对象创建到SCRIPT标签中还是应该采用不同的方法?
我的组件.js
服务器.js
谢谢你的支持
node.js - 头盔 CSP 在 Safari 浏览器中不起作用
有其他人对 Safari 中 Helmet 的内容安全策略有任何问题吗?
https://github.com/helmetjs/helmet
这在 Chrome、Firefox 和 IE 中运行良好。但是我在 Safari 中遇到了这些错误。
angularjs - nosniff 导致 img src 不起作用
我有一个 Angular 1.5 客户端,从 Node 4、Express 4 服务器发布。我在 IE Edge 中进行了 99% 的手动测试。(其余的在 Mocha、Karma 中,在交付之前,我点击了 Firefox。)
我们最近将这一行添加到了我们的 http 服务器,使用了安全帽:
问题: nosniff 选项破坏了我所有的缩略图。
在我的其他 Angular 模块之一(控制器和视图组件)中,我有这一行:
在我的 Node/Express 服务器上,我的/api/thumbnail/:title/
路由如下所示:
javascript - 使用 React-Helmet 的 React Router 服务器端渲染?
我只是在学习 React js。我想用 React js、React-router 和 React-helmet 进行整页服务器端渲染。
但我正面临这个错误。
TypeError:无法读取未定义的属性“创建”
我使用这个 github 存储库作为参考: https ://github.com/mattdennewitz/react-helmet-example
服务器.js
http - 使用 Referrer-Header: no-referrer 时,如何从嵌套页面中解析相对 URL?
假设我在 www.example.com/pages/page.html 有一个页面,并且 page.html 有相对的脚本/链接 url。我通常知道提供 /pages/js/page_js.js 或 /pages/css/page_css.css 的方式是检查“referrer”标题以查看它是http://www.example.com/pages。否则我的相对脚本看起来像:<script src="js/page_js.js"></script>
实际上会解析为我服务器上的 /js/page_js.js 。
参考helmet.js的文档,有一个安全建议,涉及阻止浏览器发送referrer
标头。如果我要实现这一点,那么我怎么能在不知道将它们解析到哪条路径的情况下解析这些资产呢?