如何将 Helmet 实现到节点服务器中? [w/o快递]
How to Implement Helmet Into a Node Server? [w/o Express]
我是第一次试验 npm 模块,我正在尝试将 helmet 实施到服务器模块中以设置安全性 headers。我知道 helmet 用于 Express 但我没有使用 Express.
我还能在以下服务器模块中使用 `helmet' 吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么 "plug-in" 进入下面的模块,或者我应该以不同的方式攻击它?
谢谢你的help/input。
'use strict';
var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');
var server;
module.exports = plugin;
function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};
var opts = options || {};
setDefaults(opts, defaults);
return function(files, staticsmith, done) {
if (server) {
done();
return;
}
var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});
server = require('http').createServer(function (request, response) {
request.addListener('end', function () {
fileServer.serve(request, response, function(err, res) {
if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);
response.writeHead(err.status, err.headers);
response.end("Not found");
} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});
}).resume();
}).listen(opts.port, opts.host);
server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});
log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};
function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}
function formatNumber(num) {
return num < 10 ? "0" + num : num;
}
function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}
最佳解决方案是通过不使用 any-kind 或 "middleware" 来实施 Security Headers 政策。通过不依赖另一个开发人员模块,这使服务器上的事情更简单、更干净、更安全。
为此,我创建了一个 security-config.json5 文件,其中包含便于维护和更新的设置:
module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};
以上设置是一个很好的起点,请特别注意 Content-Security-Policy key/value 的引号,但您可能需要对您的站点进行一些调整。我还展示了如何在此处实施 CDN。
现在在您的 createServer() 函数中,您可以遍历 key:value 对并将它们添加到您的 headers 使用 setHeader():
var security_default = require('./security-config.json5');
for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}
npm 上的 Helmet 节点模块很棒,但它很臃肿(需要 3MB 的 disc-space)并且需要定期更新,而这种方法很简单( <850bytes),对于那些不想使用中间件的人来说是可插入和可维护的。
我是第一次试验 npm 模块,我正在尝试将 helmet 实施到服务器模块中以设置安全性 headers。我知道 helmet 用于 Express 但我没有使用 Express.
我还能在以下服务器模块中使用 `helmet' 吗?如果是这样,我该怎么做(代码示例将不胜感激)?如果没有,我可以使用什么 "plug-in" 进入下面的模块,或者我应该以不同的方式攻击它?
谢谢你的help/input。
'use strict';
var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');
var server;
module.exports = plugin;
function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};
var opts = options || {};
setDefaults(opts, defaults);
return function(files, staticsmith, done) {
if (server) {
done();
return;
}
var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});
server = require('http').createServer(function (request, response) {
request.addListener('end', function () {
fileServer.serve(request, response, function(err, res) {
if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);
response.writeHead(err.status, err.headers);
response.end("Not found");
} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});
}).resume();
}).listen(opts.port, opts.host);
server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});
log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};
function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}
function formatNumber(num) {
return num < 10 ? "0" + num : num;
}
function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}
最佳解决方案是通过不使用 any-kind 或 "middleware" 来实施 Security Headers 政策。通过不依赖另一个开发人员模块,这使服务器上的事情更简单、更干净、更安全。
为此,我创建了一个 security-config.json5 文件,其中包含便于维护和更新的设置:
module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};
以上设置是一个很好的起点,请特别注意 Content-Security-Policy key/value 的引号,但您可能需要对您的站点进行一些调整。我还展示了如何在此处实施 CDN。
现在在您的 createServer() 函数中,您可以遍历 key:value 对并将它们添加到您的 headers 使用 setHeader():
var security_default = require('./security-config.json5');
for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}
npm 上的 Helmet 节点模块很棒,但它很臃肿(需要 3MB 的 disc-space)并且需要定期更新,而这种方法很简单( <850bytes),对于那些不想使用中间件的人来说是可插入和可维护的。