问题标签 [helmet.js]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

96 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
465 浏览

javascript - 消除“X-Powered-By”标头是否会自动消除 HTTP 响应中的“Server”标头

我正在使用helmetNPM 模块来摆脱X-Powered-By但不确定Server标题。我已阅读Remove headers for security但不确定如何Server使用helmet模块删除标头。

user4408375
0 投票
1 回答
639 浏览

node.js - 中间件订单快递

根据Express的安全最佳实践Helmet,我实现了.

由于我正在使用多个中间件(cookie-sessionmorganbody-parser各种自制中间件进行身份验证),我现在想知道应该按什么顺序放置它们。
是否有中间件、它们的安全性和顺序的最佳实践指南?

0 投票
1 回答
1520 浏览

reactjs - Google Tag Manager + React App = 错误的标题

我在 React 中有应用程序编写。最后一天我实现了谷歌标签管理器。我创建标签,触发器(historyChange)。在 google anaytics 实时我看到 url 的每一个变化,但标题是错误的。

例如:/url - 标题

我的标题总是后退一步。我使用 react-helmet 来动态设置头部,标题也是。

0 投票
1 回答
1244 浏览

javascript - 如何在页面加载后异步修改标头中的 JSON-LD

在页面加载开始时,我将 JSON-LD 数据添加到标题中:

后来我得到了一些我想添加的额外异步数据,因为谷歌能够抓取它

想知道如何更改标头中现有的 JSON-LD 数据?

0 投票
2 回答
2541 浏览

node.js - 在个别路线上实施头盔 csp

我正在创建一个示例 Express 应用程序来演示 Content-Security-Policy (CSP) 标头,并尝试使用helmet-csp

头盔 csp 的所有文档都显示它用作标准的第三方中间件app.use(csp({ ... }))- 这会将 CSP 标头添加到我的应用程序中的每个路由,但我想在各个路由上对其进行自定义。

示例应用

有了上述内容,每条路由都会收到 CSP 标头:

内容安全策略:frame-src 'none'

/frameable路由中,我希望将此 CSP 标头覆盖为:

内容安全策略:frame-src 'self'

每当我需要/想要在每个路由的基础上自定义由helmet-csp 设置的标头时,我是否需要在每个路由中手动覆盖它们app.get,例如:

或者有没有办法通过helmet-csp本身来做到这一点?

0 投票
2 回答
1984 浏览

babeljs - 错误:找不到相对于目录“/app”的预设“最新”

在我的 Deis 应用程序中收到错误;将Helmet引入前端中间件。该应用程序最初基于React Boilerplate和我运行的大多数建议,我已经在源代码中实现/探索,并且仍在产生这个“幻影”错误。

这只发生在 Deis 应用实例上;在本地复制这些步骤时,完成(生产)构建过程的问题为零。

当然,我可以从中间件中删除helmet,但是,我宁愿不...

错误输出:

依赖对象值/对:

运行时配置:

  • 网络包:2.2.0-rc.3
  • 通天塔核心:6.26.0
  • 通天塔加载器:6.18.0
  • 头盔:3.9.0

环境工作流程:

  • 在 Deis 实例上运行(kube 和 docker)

环境变量:

其他资源:

0 投票
0 回答
166 浏览

node.js - Express.js 仅在生产服务器上返回 404 未找到脚本标记

当我向静态请求时,计算机(开发环境)上的本地(Mac)一切正常curl,服务器响应为 200,但如果我在服务器上运行相同的代码,并且请求静态响应为 404,对于所有其他静态图像,html 文件表示响应 200。

项目树是

/路由响应实例

/images/logo.png路由响应实例

/assets/jquery/dist/jquery.min.js返回 404 Not Found的路由响应实例

0 投票
1 回答
183 浏览

node.js - 使用头盔设置无缓存选项标头的 IE11 Windows 7 上的 Web 字体未通过 HTTPS 显示

我有一个仅在 Win 7 IE11 中发生的错误,webfonts font-awesome 和 glyphicons 没有通过 https 显示,而是通过 http 显示。经过一些研究,我发现字体不会在标题中加载无缓存。

我使用 express 和 app.use(helmet.noCache());,有谁知道我是否可以从中排除字体?

0 投票
1 回答
502 浏览

javascript - Express / HelmetJS / CSP 和 Gzip 资产

我有一个托管 React Web 应用程序的 Express 应用程序。我正在使用 HelmetJS 来帮助保护我的 Express 应用程序。

我也会尽可能归还压缩后的资产。但是,自从将 Helmet 添加到 Express 后,我现在在尝试加载托管的 Web 应用程序时收到以下错误

我的 Express 应用程序如下所示...

dist 文件夹中正在渲染的 index html 如下

如果我禁用头盔,这很好用。如何配置头盔以允许加载此文件?

0 投票
1 回答
4558 浏览

node.js - 头盔 CSP 无法正常工作?

使用 Express 分发的 Vue SPA。

这是我在快递中的头盔代码

这样做不会在浏览器控制台中产生任何错误,但我的页面加载为空白,我是否遗漏了什么?

这是我试图在我的 index.html 中导入的东西


12345678910