问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - Node JS 中的 HTTP 标头请求
这个应用程序的想法是,无论何时调用任何 URL,它都应该给出 HTTP 响应。我正在尝试将数据发送到 HTTP 标头,但我不知道如何填充内容,也无法在任何地方找到解决方案。
这是我的代码
运行应用程序后..我在标题中得到以下结果
HTTP/1.1 200 OK
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Content-Type: application/json
Date: Thu, 30 Apr 2020 08:17:05 GMT
Connection: keep-alive
但我想要 HTTP 标头指令中的其他数据。就像下面
期望的输出:
javascript - 在 React Js 中使用 Helmet 处理动态元数据
1)如果我在 React Js 中将 Helmet 用于动态元数据,我是否仍然必须在 Index.html 中包含默认元数据,或者我应该从那里完全删除元字段。
2)如果我使用来自 API 的数据使用 reactJs 动态设置元数据,那将如何工作。使用 React Js 和 Redux 完成这项工作的最佳方法是什么,我正在使用 PHP 后端?
nestjs - 如何使用 Fastify 在 Nestjs 项目中配置 Helmet?
我正在使用Nestjs (7.x) 和Fastify (with @nestjs/platform-fastify
)。我正在尝试在我的项目( )中安装Helmetfastify-helmet
,但我无法弄清楚如何将它与 Nestjs 集成/配置。让它登机的正确方法是什么?
这是我的 Nestjs 引导程序:
javascript - Helmet 和 Express 4.17 的问题
对于一个大学项目,我们目前正在完成一个网络应用程序(我们正在使用 Express)。因为我对安全问题感兴趣,所以我想确保我们的应用在使用 Helmet 时是安全的。不幸的是,尽管参考了文档,但它似乎不起作用。标题完全相同,没有任何变化。
您可以在此处的问题中找到 app.ts 文件:问题头盔
javascript - 当我在我的免费 Heroku 网站上使用头盔包时,我的 CSS 无法加载,我不知道为什么
如标题所述,在我尝试使用 Helmet 进行安全保护之前,我的网站在 Heroku 上显示良好。我不确定为什么。由于它是免费的 Heroku 层,我没有启用 https,我不确定这是否是导致它的原因 - 但很好奇这里是否有人可能知道它发生了什么。
这是我的 app.js 文件:
express - 使用 nonce 或 sha-256 是否允许执行内联事件处理程序?
我对内容安全策略有点怀疑...我的渲染文件 pug 包含内联事件处理程序,例如onclick='someFunction()'
...在我安装了用于添加额外标头的头盔后,它阻止了我的内联事件处理程序以违反 csp ..经过一些研究我来了要知道要允许内联脚本,我们必须使用 unsafe-inline、nonce 或 hash..所以我将 nonce 放在 pug 文件中的脚本标签中,例如script(src="source", nonce='123456')
在头盔中间件中将 content-security-policies script-src 设置为' nonce-123456'..但我仍然无法执行内联事件处理程序..我的问题是使用 nonce 或 sha-256 只允许像这样的 linline 脚本<script nonce='123456'> someFunction() </script>
工作还是允许内联脚本和内联事件处理程序执行??..我知道我可以使用 addEventListener() 来代替内联事件处理程序..但是有什么方法可以使用内联事件处理程序?
javascript - 头盔内容安全策略全局路径不起作用
我正在使用 Helmet 在后端使用 Express 设置我的 Web 应用程序的内容安全策略。这些策略如下所示:
当我的应用程序尝试访问诸如https://maxcdn.bootstrapcdn.com/bootstrap/3.4.0/css/bootstrap.min.css
. 它说它违反了 styleSrc 政策。但是我已经指定了https://maxcdn.bootstrapcdn.com/bootstrap
允许的策略之一,我认为这https://maxcdn.bootstrapcdn.com/bootstrap/3.4.0/css/bootstrap.min.css
也会被接受,因为它是一个子 src。但显然它被阻止了。那我该如何让孩子 src 通过呢?我试过https://maxcdn.bootstrapcdn.com/bootstrap*
了,但是无效。
express - 动态设置随机数与快速静态?
我正在将我的 NodeJS(http+websocket)/vanillaJS 移动到 express+websocket/(希望是 React)。我想用 ExpressJS 为 script-src 实现 CSP-nonce,用于静态文件。我已经设法使用加密和头盔 csp 动态设置标题。
但是,我坚持在每个脚本标签上设置 nonce 值并仍在使用 express.static 函数(在 docs/web/stacko 上也找不到任何东西......)我只是替换了原始 http 模块'<script type="text/javascript"' 部分与 nonce 生成的值。
有没有办法做到这一点并且仍然使用 express-static?(我知道它说的是静态的,但这似乎是一个有用的功能,即使对于静态文件)。如果没有(因为我是新来表达的)是否有标准/最佳实践方式来做到这一点?还是一个众所周知的使用模块?谢谢!
javascript - CSP error while serving with express (with helmet) an app created with create-react-app
I'm struggling with serving a build created with "create-react-app" using Express with Helmet. I'm getting several errors in the explorer console related to Content Security Policy:
Of course, it isn't showing the app. I noticed that if a remove Helmet as middleware in Express it works but that's not the solution I want. This is my server code:
Can anyone give me a hand? Thanks in advance!
javascript - 如何正确设置helmet.js 以解决CSP 问题?
当我启动我的快速应用程序时,浏览器会给我这个错误:
在我的 index.js 文件中,我已经像这样设置了头盔:
我的 index.html 正在像这样加载到 .js 文件中:
这是我的 GitHub 存储库:https ://github.com/jgonzales394/fsn.pw