问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - Firefox NodeJS 内容安全策略(“default-src”)错误
刚刚升级到最新的 FF,我所有的后端开发现在都坏了。
代码示例:
服务器.js
错误.api.js
以下解决方案无效:
如何修复“内容安全策略:页面设置阻止在 http://localhost:8080/favicon.ico(“default-src”)加载资源。
https://lollyrock.com/posts/content-security-policy/
如何使用 express/node.js 配置 CSP-headers?
https://github.com/nextcloud/server/issues/12724
如何纠正 nodejs 的问题,反应应用程序未正确加载与内容安全策略相关的内容
即使添加了“unsafe-eval”,CSP 也会阻止对 function() 的调用
https://github.com/helmetjs/helmet
内容安全策略“数据”不适用于 Chrome 28 中的 base64 图像
上周这一切都奏效了。对这种重大变化感到非常沮丧;请帮忙!!
reactjs - 在 IE 兼容性视图中反应不呈现
我使用的是 create-react-app 而不是在 IE11 中呈现
在 IE 兼容模式下检查 Intranet 站点。因此,部署后它使用 IE5 或 IE7 模拟器,这会在控制台中显示空白页面和一些错误。
我尝试了不同的解决方法:
- 使用 X-UA-Compatible 标签使用 react-helmet
- 在 IIS 中为 X-UA-Compatible 设置响应标头
- 在 web.config 中设置 X-UA-Compatible 标头
这些都不起作用。
我发现这个元标记需要设置为 head 的第一个孩子。但是使用 react-helmet 是不可能将标签放在最顶部的。
任何人都可以遇到类似的问题吗?
编辑:它在 IE11 中运行良好。这只是IE兼容性问题
express - 为什么安装 Express 头盔后显示 x-powered-by 标头?
我有一个使用 webpack 在端口 8080 上运行的 Express 服务器。我按照包文档中的说明安装了头盔
然而,当我npm start
仍然看到x-powered-by:Express
头文件时,localhost
并且没有看到 Helmet 应该启用的 dns-prefetch、xss 或其他头文件。我多次重新启动服务器,删除了我的构建文件夹,因此它没有被缓存,并且不知道它为什么不工作。任何想法或指示将不胜感激!
node.js - 我应该在我的 REST Api 中使用 Helmet 的哪些模块
问题:
哪些 Helmet 模块应该用于 rest API?
背景:
我正在构建一个 Node/Express REST Api,并不断看到 Helmet 作为我应该使用的安全中间件弹出。查看 Helmet 的文档似乎有些模块(内容安全策略、跨域等)仅适用于前端应用程序。哪些模块应该在 Helmet 中用于休息 API?
javascript - 拒绝执行脚本,因为它的 MIME 类型 ('application/gzip') 不可执行,并且启用了严格的 MIME 类型检查
我正在尝试在我的反应应用程序生产服务器上设置头盔安全性。但每当我尝试点击 URL 时。我收到一条错误消息Refused to execute script from 'http://localhost:3000/static/js/app.378bd8b8eee930fb268c.js' because its MIME type ('application/gzip') is not executable, and strict MIME type checking is enabled.
对于我正在使用的压缩构建compression-webpack-plugin
。
当我删除helmet
. 头盔插件设置:
express - Express X-Powered-By 仍然在 css 文件上
我正在使用头盔:app.use(helmet())
并且还尝试添加app.disable('x-powered-by')
删除 X-Powered-By 标头的良好措施。
标题实际上已在生成的 html 页面上删除,但对于从公共使用的文件提供的文件app.set('views', __dirname + '/views');
,标题似乎仍显示在那里。这是正常行为吗?有没有办法摆脱这些公共文件的标题?
reactjs - 带解耦 CMS 的头盔(Drupal)
我用 React 应用程序在 CMS (Drupal) 上建立了一个站点。我使用 Helmet 从我的组件/子组件生成元数据(标题/描述)。
在我使用此代码的组件中:
如果我在 Chrome 的开发工具中分析代码,我会看到元数据已更新。
如果我分析页面的源代码,则元数据不会更新。这些元数据是在 React 应用程序之外的 HTML 部分中生成的。因此,元数据标题和描述保持默认值。
在 HTML 部分“更新”元数据的好方法是什么?我只需要更新特定的元数据(标题、描述、规范......),头部的其他元素由 CMS 生成。
感谢您的食谱和帮助。
javascript - 在某处共享 url 时未加载 og 元标记
我是 reactjs 的新手。我想为 SEO 的发展构建动态元标记。我正在项目的主页中编写元标记,但在共享这些标记时未加载。在检查时,我能够看到样式中的 og 标记。我正在使用反应头盔 npm 来构建元标记。下面是代码。
express - 头盔和 contentSecurityPolicy 并使用 nonce 并添加它但仍然出现错误
我正在使用 Helmet.contentSecurityPolicy,这里是我的对象的要点:
我的脚本没有加载.....这没有加载,但你可以看到我在我的信任项目中有它;
未加载:这些是通过 GOOGLETAGMANGER 加载的项目,但我有一个随机数?
并且在其中一些的脚本标签中,比如 googleTagmanager,我添加了随机数。现在,对于一些,我无法添加,但我将它们明确地放在配置中。
那些本地主机这些是由webpack 创建的,但我的可接受项目中显然有“本地主机”....所以我很困惑。有什么帮助吗?
我的头盔中间件带进来..
我的一些上下文服务器代码:
[![在此处输入图像描述][2]][2]
nginx - 大型网站 Walmart、Amazaon、Ticketmaster、Verizon 等不包含 contentSecurityPolicy 是否有原因?
所以,我一直在检查这些做很多电子商务的大型网站的标头,但我没有看到很多安全标头可以表示高安全性.. 最值得注意的是 contentSecurityPolicy.. 为什么它们不包括它?
所以我去了这些网站,但没有: Content-Security-Policy 注意:我正试图让它在我的网站上运行,它变成了一个巨大的痛苦,尤其是 googletagmanager 等......
Netflix、亚马逊、ticketmaster、verizon、沃尔玛等。