添加 HSTS Headers
Adding HSTS Headers
我需要向此文件添加 HSTS header,但我不确定如何添加。
import { injectable, inject } from 'tsyringe';
import { NextFunction, Request, Response } from 'express';
import * as Types from '../../types';
@injectable()
class EncryptionController {
constructor(@inject('EncryptionService') private service: Types.EncryptionService) { }
public encrypt = async (req: Request, res: Response<Types.EncryptResponsePayload | Types.ServiceError>, next: NextFunction) => {
try {
const { publicKeys, payload } = req.body as Types.EncryptRequest;
const response = await this.service.encrypt(payload, publicKeys);
res.status(200).json(response);
} catch (error) {
if (error.message === 'not found' || error.message === 'Secret not found') {
res.status(404).json({ message: error.message });
} else {
res.status(400).json({ message: error.message });
}
}
}
如有任何指示,我将不胜感激
在响应中,您可以调用res.setHeader(headerName, headerValue)设置任何header,包括HSTS header。通常你会想要做这样的事情:
res.setHeader('Strict-Transport-Security', 'max-age=3600; includeSubDomains');
启用 HSTS 1 小时 - 这对于第一次测试来说是一个很好的值,但是一旦确认一切正常,您可能应该将其增加到 31536000(1 年)之类的值。
您需要将其放在 res.status()... 行之前的某处以设置此 header。
这会为整个站点和其他子域启用 HSTS,但仅在客户端请求此特定端点时才会启用。在大多数情况下,假设您有许多其他端点,您希望在 all 响应中发送 HSTS 响应 headers。为此,您可以使用快速中间件添加这些 header。您可以自己编写,也可以使用 Helmet(例如 app.use(helmet.hsts())),它可以在全球范围内轻松地为您执行此操作以及许多其他良好的安全实践。
我需要向此文件添加 HSTS header,但我不确定如何添加。
import { injectable, inject } from 'tsyringe';
import { NextFunction, Request, Response } from 'express';
import * as Types from '../../types';
@injectable()
class EncryptionController {
constructor(@inject('EncryptionService') private service: Types.EncryptionService) { }
public encrypt = async (req: Request, res: Response<Types.EncryptResponsePayload | Types.ServiceError>, next: NextFunction) => {
try {
const { publicKeys, payload } = req.body as Types.EncryptRequest;
const response = await this.service.encrypt(payload, publicKeys);
res.status(200).json(response);
} catch (error) {
if (error.message === 'not found' || error.message === 'Secret not found') {
res.status(404).json({ message: error.message });
} else {
res.status(400).json({ message: error.message });
}
}
}
如有任何指示,我将不胜感激
在响应中,您可以调用res.setHeader(headerName, headerValue)设置任何header,包括HSTS header。通常你会想要做这样的事情:
res.setHeader('Strict-Transport-Security', 'max-age=3600; includeSubDomains');
启用 HSTS 1 小时 - 这对于第一次测试来说是一个很好的值,但是一旦确认一切正常,您可能应该将其增加到 31536000(1 年)之类的值。
您需要将其放在 res.status()... 行之前的某处以设置此 header。
这会为整个站点和其他子域启用 HSTS,但仅在客户端请求此特定端点时才会启用。在大多数情况下,假设您有许多其他端点,您希望在 all 响应中发送 HSTS 响应 headers。为此,您可以使用快速中间件添加这些 header。您可以自己编写,也可以使用 Helmet(例如 app.use(helmet.hsts())),它可以在全球范围内轻松地为您执行此操作以及许多其他良好的安全实践。