OWASP headers 在快速服务器中设置后未显示在浏览器中
OWASP headers not showing up in the browser, after being set in an express server
我正在尝试向某个 API 发送请求,但我一直收到此错误 ---
缺少 OWASP 安全 Headers:["Strict-Transport-Security","X-Content-Type-Options","Content-Security-Policy","Referrer-Policy"] URL
我已经在我的 node/express 服务器中设置了响应 headers,他们在节点服务器上设置 console.log,但是当我在浏览器中查看请求时,他们没有。
另外,我向API提出的要求也被拒绝了。同样的 headers 与 webpack 的 devServer 一起工作。我只是复制并粘贴它们。有谁知道为什么我可以在浏览器中看到它们以及为什么我点击的 API 说 headers 不存在,我是 OWASP 和配置 CSP 的新手 (content-security-policy) ?
搞清楚了,一个简单的订购问题。
我需要在 app.use() 之前设置 headers 的地方放置 app.use()
我在哪里提取我的静态文件。这立即解决了问题。
`app.use((req, res, next) => {
res.append('Access-Control-Allow-Origin', ['*']);
res.append('X-Content-Type-Options', "nosniff");
res.append("Strict-Transport-Security", "max-age=31536000;
includeSubDomains");
res.append("Referrer-Policy", "no-referrer");
res.append("Content-Security-Policy",
"default-src * data: blob: 'self'
wss: ws: localhost:;
script-src https:* 127.0.0.1:* *.spotilocal.com:*
'unsafe-inline' 'unsafe-eval' blob: data: 'self';
style-src data: blob:
'unsafe-inline' 'self'");
next();
});`
`app.use('/', express.static('public/dist'))`
我正在尝试向某个 API 发送请求,但我一直收到此错误 ---
缺少 OWASP 安全 Headers:["Strict-Transport-Security","X-Content-Type-Options","Content-Security-Policy","Referrer-Policy"] URL
我已经在我的 node/express 服务器中设置了响应 headers,他们在节点服务器上设置 console.log,但是当我在浏览器中查看请求时,他们没有。
另外,我向API提出的要求也被拒绝了。同样的 headers 与 webpack 的 devServer 一起工作。我只是复制并粘贴它们。有谁知道为什么我可以在浏览器中看到它们以及为什么我点击的 API 说 headers 不存在,我是 OWASP 和配置 CSP 的新手 (content-security-policy) ?
搞清楚了,一个简单的订购问题。
我需要在 app.use() 之前设置 headers 的地方放置 app.use() 我在哪里提取我的静态文件。这立即解决了问题。
`app.use((req, res, next) => {
res.append('Access-Control-Allow-Origin', ['*']);
res.append('X-Content-Type-Options', "nosniff");
res.append("Strict-Transport-Security", "max-age=31536000;
includeSubDomains");
res.append("Referrer-Policy", "no-referrer");
res.append("Content-Security-Policy",
"default-src * data: blob: 'self'
wss: ws: localhost:;
script-src https:* 127.0.0.1:* *.spotilocal.com:*
'unsafe-inline' 'unsafe-eval' blob: data: 'self';
style-src data: blob:
'unsafe-inline' 'self'");
next();
});`
`app.use('/', express.static('public/dist'))`