OWASP headers 在快速服务器中设置后未显示在浏览器中

OWASP headers not showing up in the browser, after being set in an express server

我正在尝试向某个 API 发送请求,但我一直收到此错误 ---

缺少 OWASP 安全 Headers:["Strict-Transport-Security","X-Content-Type-Options","Content-Security-Policy","Referrer-Policy"] URL

我已经在我的 node/express 服务器中设置了响应 headers,他们在节点服务器上设置 console.log,但是当我在浏览器中查看请求时,他们没有。

另外,我向API提出的要求也被拒绝了。同样的 headers 与 webpack 的 devServer 一起工作。我只是复制并粘贴它们。有谁知道为什么我可以在浏览器中看到它们以及为什么我点击的 API 说 headers 不存在,我是 OWASP 和配置 CSP 的新手 (content-security-policy) ?

搞清楚了,一个简单的订购问题。

我需要在 app.use() 之前设置 headers 的地方放置 app.use() 我在哪里提取我的静态文件。这立即解决了问题。

`app.use((req, res, next) => {
    res.append('Access-Control-Allow-Origin', ['*']);
    res.append('X-Content-Type-Options', "nosniff");
    res.append("Strict-Transport-Security", "max-age=31536000; 
    includeSubDomains");
    res.append("Referrer-Policy", "no-referrer");
    res.append("Content-Security-Policy", 
        "default-src * data: blob: 'self' 
        wss: ws: localhost:; 
        script-src https:* 127.0.0.1:* *.spotilocal.com:* 
        'unsafe-inline' 'unsafe-eval' blob: data: 'self'; 
        style-src data: blob: 
        'unsafe-inline' 'self'");
    next();
});`

`app.use('/', express.static('public/dist'))`