问题标签 [helmet.js]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - 带有 PUG 和 nodejs 的 CSP 随机数
我一直在阅读我能找到的关于 CSP、Helmet、nodejs、PUG 的所有内容。但是我不是很了解,而且我正在做的事情不起作用。
在我的登录页面的 PUG 文件中(页面源似乎没问题)我有
我已经看到我应该使用 Helmet,并且在 Helmet 的文档中我看到了我在 app.js 中放入的这段代码
它不工作。在控制台中我有
我完全不明白——我脑子里一片空白。任何指向文档或示例或解释的指针将不胜感激。谢谢
content-security-policy - 启用头盔时如何在 nodejs 应用程序中使用 3rd 方库和内联脚本
我正在开发一个 nodejs 应用程序并实现了一些安全性,我使用了这样的头盔
现在浏览器不允许我使用第三方库和内联脚本。你可以检查图像
所以我找到了解决方案。见下文
现在一切都解决了。我想知道为什么会发生这种情况如何使用 3rd 方库和内联脚本而不在头盔中设置 contentSecurityPolicy: false
我还发现我们必须在公共文件夹中包含一个 manifest.json 文件,并在其中提及所有第三方库。如何暗示?提前致谢
javascript - 如何使用 Helmet 4.4.1 版本 node.js 模块启用和禁用 upgradeInsecureRequests csp 指令
我已经使用 Helmet 4.4.1 版本进行了尝试,对于 upgrade-insecure-requests CSP,它们都设置为 true
以上哪种格式使用正确?
javascript - 当我添加helmetJS时,字体真棒显示白色方块
最初我制作了一个应用程序,它在 html 中使用此代码,并遵循实现字体真棒图标并且运行良好的类。
我现在第一次学习helmetJS,并将其实现到我的server.js 文件中。我可以将 controlSecurityPolicy 设置为 false,但我想保留该功能并且感觉这是走捷径。当我调用 CSP 时,我成功地将图像和 jQuery 添加到指令中,因此它们工作正常。但是,当我为 fontawesome 这样做时,它会使用图标并将其变成一个白色方块。
必须有一种方法可以修复白色方块并在使用helmJS后再次使它们成为图标,但答案一直在躲避我。非常感谢任何和所有帮助。
express - 使用 Cloudflare 的 Express.js 头盔 CSP 设置 - 放入什么?
我在 Heroku(免费层)上部署了一个简单的投资组合网站。该站点使用 Express Node.js 和 React 作为前端构建。为了使用需要 SSL 的 .dev 域,我注册了 Cloudflare。现在一切正常,除了我的发送电子邮件表格。我收到以下错误:
Refused to connect to `https://<my-app>.herokuapp.com/api/v1/email/sendemail' because it violates the following Contect Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.
我发现它与头盔和 CSP 政策有关,但我不明白我到底需要在那里放什么。作为临时解决方案,我像这样禁用了 CSP:
但理想情况下,我想做这样的事情:
但我不知道在里面放什么。cdnjs.cloudflare.com 和 ajax.cloudflare.com 都不起作用。
node.js - 我在 app.use 语句中放置 app.use(helmet... 的位置是否重要?
我有一个 node.js 应用程序,我在其中使用多个 app.use 语句。我想app.use(helmet.frameguard({ action: 'deny' }));通过防止我的网站出现在 iframe 中来包含防止点击劫持的行,我想问一下我按照 app.use 语句的顺序放置这一行是否重要?我是否需要将它放在所有其他 app.use 语句中的特定位置(例如app.use(cookie-parser());)
jquery - Accordion Collapsible 仅在 Heroku 中不起作用(CSP 问题)
我面临一个非常奇怪的问题。我实现了一些嵌套的可折叠和简单的可折叠,它们在本地主机上工作得很好。但在 Heroku 中,我仍然无法理解为什么可折叠不起作用。欢迎任何帮助,如果没有可折叠的工作,我的网络应用程序将显得混乱:(
哈巴狗布局
可折叠 PUG
types - 将 Helmet 升级到 v4.5.0 并需要与 IHelmetContentSecurityPolicyDirectives 等效的类型
只是修改了 NodeJS/Typescript 应用程序中使用的依赖项,并且遇到了 Helmet 从版本“3.23.2”更改为“4.5.0”的障碍。
我已经从 package.json 文件中删除了依赖项 "@types/helmet": "0.0.47"。
编译会导致以下语义错误:
options.ts 包括:
security.ts 定义为:
我不知道用什么来代替IHelmetContentSecurityPolicyDirectivescsp 类型。
node.js - 内容安全策略:脚本拒绝加载
我是 web-dev 的新手,我不确定为什么某个特定的脚本拒绝加载。我似乎遇到了 MIME 类型和内容安全策略错误,但我的标头设置为允许这些事情。
我得到的两个错误是:
和
我的标题:
我用来生成网络服务器的代码使用了头盔
typescript - 用打字稿表达错误
我的 Express 服务器有以下代码:
而且我在helmet() 和express.json() 调用中都遇到了错误:
头盔():没有重载匹配这个调用。最后一个重载给出了以下错误。'(req: IncomingMessage, res: ServerResponse, next: (err?: unknown) => void) => void' 类型的参数不可分配给'PathParams' 类型的参数。类型 '(req: IncomingMessage, res: ServerResponse, next: (err?: unknown) => void) => void' 缺少来自类型 '(string | RegExp)[]' 的以下属性:pop、push、concat、加入,还有 27 个.ts(2769)
express.json():没有重载匹配这个调用。最后一个重载给出了以下错误。“NextHandleFunction”类型的参数不可分配给“PathParams”类型的参数。类型 'NextHandleFunction' 缺少类型 '(string | RegExp)[]' 中的以下属性:pop、push、concat、join 和 27 more.ts(2769)
我正在使用 Express 4.17.1、TypeScript 4.3.5 和 Helmet 4.6.0。
我总是像这样使用头盔和 express.json,但最近我开始看到这些打字稿错误。
有谁知道如何解决这些问题?
谢谢你。