问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 消除“X-Powered-By”标头是否会自动消除 HTTP 响应中的“Server”标头
我正在使用helmet
NPM 模块来摆脱X-Powered-By
但不确定Server
标题。我已阅读Remove headers for security但不确定如何Server
使用helmet
模块删除标头。
node.js - 中间件订单快递
根据Express的安全最佳实践Helmet
,我实现了.
由于我正在使用多个中间件(cookie-session
、morgan
和body-parser
各种自制中间件进行身份验证),我现在想知道应该按什么顺序放置它们。
是否有中间件、它们的安全性和顺序的最佳实践指南?
reactjs - Google Tag Manager + React App = 错误的标题
我在 React 中有应用程序编写。最后一天我实现了谷歌标签管理器。我创建标签,触发器(historyChange)。在 google anaytics 实时我看到 url 的每一个变化,但标题是错误的。
例如:/url - 标题
我的标题总是后退一步。我使用 react-helmet 来动态设置头部,标题也是。
node.js - 在个别路线上实施头盔 csp
我正在创建一个示例 Express 应用程序来演示 Content-Security-Policy (CSP) 标头,并尝试使用helmet-csp。
头盔 csp 的所有文档都显示它用作标准的第三方中间件app.use(csp({ ... }))
- 这会将 CSP 标头添加到我的应用程序中的每个路由,但我想在各个路由上对其进行自定义。
示例应用
有了上述内容,每条路由都会收到 CSP 标头:
内容安全策略:frame-src 'none'
在/frameable
路由中,我希望将此 CSP 标头覆盖为:
内容安全策略:frame-src 'self'
每当我需要/想要在每个路由的基础上自定义由helmet-csp 设置的标头时,我是否需要在每个路由中手动覆盖它们app.get
,例如:
或者有没有办法通过helmet-csp本身来做到这一点?
babeljs - 错误:找不到相对于目录“/app”的预设“最新”
在我的 Deis 应用程序中收到错误;将Helmet引入前端中间件。该应用程序最初基于React Boilerplate和我运行的大多数建议,我已经在源代码中实现/探索,并且仍在产生这个“幻影”错误。
这只发生在 Deis 应用实例上;在本地复制这些步骤时,完成(生产)构建过程的问题为零。
当然,我可以从中间件中删除helmet
,但是,我宁愿不...
错误输出:
依赖对象值/对:
运行时配置:
- 网络包:2.2.0-rc.3
- 通天塔核心:6.26.0
- 通天塔加载器:6.18.0
- 头盔:3.9.0
环境工作流程:
- 在 Deis 实例上运行(kube 和 docker)
环境变量:
其他资源:
node.js - Express.js 仅在生产服务器上返回 404 未找到脚本标记
当我向静态请求时,计算机(开发环境)上的本地(Mac)一切正常curl
,服务器响应为 200,但如果我在服务器上运行相同的代码,并且请求静态响应为 404,对于所有其他静态图像,html 文件表示响应 200。
项目树是
/
路由响应实例
/images/logo.png
路由响应实例
/assets/jquery/dist/jquery.min.js
返回 404 Not Found的路由响应实例
node.js - 使用头盔设置无缓存选项标头的 IE11 Windows 7 上的 Web 字体未通过 HTTPS 显示
我有一个仅在 Win 7 IE11 中发生的错误,webfonts font-awesome 和 glyphicons 没有通过 https 显示,而是通过 http 显示。经过一些研究,我发现字体不会在标题中加载无缓存。
我使用 express 和 app.use(helmet.noCache());,有谁知道我是否可以从中排除字体?
javascript - Express / HelmetJS / CSP 和 Gzip 资产
我有一个托管 React Web 应用程序的 Express 应用程序。我正在使用 HelmetJS 来帮助保护我的 Express 应用程序。
我也会尽可能归还压缩后的资产。但是,自从将 Helmet 添加到 Express 后,我现在在尝试加载托管的 Web 应用程序时收到以下错误
我的 Express 应用程序如下所示...
dist 文件夹中正在渲染的 index html 如下
如果我禁用头盔,这很好用。如何配置头盔以允许加载此文件?
node.js - 头盔 CSP 无法正常工作?
使用 Express 分发的 Vue SPA。
这是我在快递中的头盔代码
这样做不会在浏览器控制台中产生任何错误,但我的页面加载为空白,我是否遗漏了什么?
这是我试图在我的 index.html 中导入的东西