问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 在 Backpack 框架中启用 CORS
官方文档链接:背包
由于 Backpack 是 Node.js 项目的简约构建系统,我使用 Backpack Build 作为我的后端应用程序(“ Auth-api ” - 在我的系统上本地运行)并从另一个前端应用程序发送请求(“ Management- App "- Angular 5 应用程序) 到Auth-Api中定义的路由,但我没有得到响应,而是在我的浏览器控制台中收到此错误:
Access-Control-Allow-Headers 在预检响应中不允许请求标头字段接受版本。
另外,我也在使用Bookshelf_ORM和Helmet。我不确定Helmet是否会导致此问题。此外,我找不到任何其他适合 Backpack 的文档。因此,任何有关正确文档的建议或有效链接也将有所帮助,最终有助于解决问题。
node.js - nodeJS https - 无法设置 Content-Security-Policy
我正在尝试使用具有可配置 Content-Security-Policy 的 HTTPS 和 Express 编写一个简单的 NodeJS HTTPS Web 服务器。
我尝试在服务器响应对象中设置 Content-Security-Policy 标头属性,但始终只发送“default-src 'self'”。似乎 HTTPS 模块覆盖了我指定的任何内容。
我也尝试过使用helmet-csp npm 包,但也没有成功。
这是我的代码片段:
python - 像头盔(js)这样的Python包?
我正在用 Flask(python 包)在 python 中构建一个 api,我想在这个 api 中添加一些安全头,在 nodejs(express)中我通常使用头盔包。有些人知道python中的头盔之类的包?
node.js - 我们是否应该将 Helmet 中间件与在 Firebase Cloud Function 上运行的 Express 应用一起使用?
在阅读了文档并观看了许多教程后,我构建了我的第一个 express 应用程序。我想用 Firebase Http Function 运行它。出于安全原因,Express 文档推荐 Helmet 中间件,我明白为什么。没有将它与 Firebase 一起使用的示例(至少我找不到)。
所以我的问题是我们应该使用带有 Firebase Http 函数的 Helmet 中间件吗?推荐吗?
Firebase Functions 不强制使用 Express 应用程序,所有流量都通过 Google 服务器,所以我认为没有必要,因为 Google 正在处理 Helmet 应该解决的安全问题,但我不确定。Firebase 文档中没有关于它的信息。
xml - 简单的 XML 文件在不存在的图像上触发 CSP 错误?
我有一个 Express 服务器,它的配置如下:
我的根目录中还有一个包含以下内容的browserconfig.xml文件:
如您所见,它是一个没有图像数据的简单 XML 文件,更不用说 SVG。然而,当我尝试点击https://www.shandillia.com/browserconfig.xml时,控制台中会出现以下内容:
拒绝加载图像 'data:image/svg+xml,http://www.w3.org/2000/svg' fill='%23909090' width='10' height='10'>' 因为它违反了遵循内容安全策略指令:“img-src 'self' *.google-analytics.com”。
请注意,XML 文件的内容也显示在浏览器屏幕中。只是控制台错误让我感到困惑。我的服务器抱怨的图像文件在哪里?
PS:有没有办法在我的指令中只允许这个特定的 SVG(不管它是什么,假设它是安全且无恶意的,来自像 www.w3.org 这样的合法来源) ?imgSrc我尝试修改我的server.csp(),但没有奏效:
这个神秘物体是什么?如何才能让它不再打扰浏览器?
node.js - 可以直接设置set HTTP相关header时使用helmetjs
我在 Production Best Practices: Security Express 文档中遇到了helmetjs,很想知道 它与直接设置标头有何不同。还访问了helmetjs文档,我只发现了如何使用它,我想知道它是如何工作的,以及它是如何设置HTTP相关标头(即frameguard)的安全方式。先感谢您。
typescript - 如何使用打字稿中的helmet.js?
根据文档,从纯 js 中使用头盔非常容易:
但是我怎样才能从打字稿中使用它呢?Typings 文件导出一堆东西,其中一个是头盔接口,不能作为函数调用。我可以这样导入,但不知道接下来要做什么,我应该传递给 app.use 什么?
我已经导入了最新版本的头盔和打字:
stream - Dust.js 和头盔 - 不呈现 HTML
我有一个 Dust.js 模板,想用它作为异步模式(所以流)来加载我的东西。它工作得很好,但是当我添加 use(helmet()) 它不再显示为 html,就像纯文本一样
我试过使用dust.stream,试过霍夫曼,试过adaro。没有任何作用,引入了第二个头盔,它不起作用。
霍夫曼
尘埃流:
不使用头盔时,渲染html,添加头盔时,不渲染,我看到html页面为文本
javascript - TS2339:“头盔”类型上不存在属性“featurePolicy”
我有由Helmet定义的安全规则的应用程序。但是,安装时@types/helmet出现以下错误TS2339: Property 'featurePolicy' does not exist on type 'Helmet'.。代码如下:
链接到功能策略,它是头盔包的一部分:https ://helmetjs.github.io/docs/feature-policy/
node.js - X-Powered-By:微服务中的头盔
我想在x-powered-byHelmet(npm 包)的帮助下删除什么我在节点 js 中有微服务。这就是我正在做的事情。
Helmet默认删除x-power-by标题,但在我的情况下,它没有做。我已经重新安装了所有内容并完成了浏览器缓存清除。如果我这样做,一切都会奏效service.expressApp.disable("x-powered-by");。甚至service.expressApp.use(helmet.hidePoweredBy())不工作。控制台中没有错误。
还有其他helmet我必须做的配置吗?
如果它不起作用,我有备用计划service.expressApp.disable("x-powered-by");