Как внедрить шлем на сервер узла? [без экспресса]
Я экспериментирую с npm модули в первый раз, и я пытаюсь реализовать helmet в серверный модуль для установки заголовков безопасности. я знаю это helmet предназначен для Express но я не пользуюсь Express,
Могу ли я использовать "шлем" в следующем модуле сервера? Если это так, как я могу это сделать (примеры кода будут оценены)? Если нет, что я могу использовать, чтобы "подключить" к модулю ниже или я должен атаковать это по-другому?
Спасибо за вашу помощь / вклад.
'use strict';
var helmet = require('helmet')
, web = require('node-static')
, chalk = require('chalk');
var server;
module.exports = plugin;
function plugin(options) {
var defaults = {
cache: 0
, port: 8080
, host: "localhost"
, verbose: false
};
var opts = options || {};
setDefaults(opts, defaults);
return function(files, staticsmith, done) {
if (server) {
done();
return;
}
var docRoot = staticsmith.destination()
, fileServer = new web.Server(docRoot, { cache: opts.cache});
server = require('http').createServer(function (request, response) {
request.addListener('end', function () {
fileServer.serve(request, response, function(err, res) {
if (err) {
log(chalk.red("[" + err.status + "] " + request.url), true);
response.writeHead(err.status, err.headers);
response.end("Not found");
} else if (opts.verbose) {
log("[" + response.statusCode + "] " + request.url, true);
}
});
}).resume();
}).listen(opts.port, opts.host);
server.on('error', function (err) {
if (err.code == 'EADDRINUSE') {
log(chalk.red("Address " + opts.host + ":" + opts.port + " already in use"));
throw err;
}
});
log(chalk.green("serving " + docRoot + " at http://" + opts.host + ":" + opts.port));
done();
};
function setDefaults(opts, defaults) {
Object.keys(defaults).forEach(function(key) {
if (!opts[key]) {
opts[key] = defaults[key];
}
});
}
function formatNumber(num) {
return num < 10 ? "0" + num : num;
}
function log(message, timestamp) {
var tag = chalk.blue("[staticsmith-serve]");
var date = new Date();
var tstamp = formatNumber(date.getHours()) + ":" + formatNumber(date.getMinutes()) + ":" + formatNumber(date.getSeconds());
console.log(tag + (timestamp ? " " + tstamp : "") + " " + message);
}
}
1 ответ
Лучшим решением было реализовать Security Headers политика, не используя какой-либо "промежуточного программного обеспечения". Это делает вещи проще, чище и безопаснее на сервере, не полагаясь на другой модуль разработчика.
Для этого я создал security-config.json5 файл, содержащий настройки, облегчающие поддержку и обновление:
module.exports = {
security: [
{ name: 'Cache-Control',
value: 'public, max-age=30672000'
},
{ name: 'server',
value: 'mySpecial-Server'
},
{ name: 'Strict-Transport-Security',
value: 'max-age=86400'
},
{ name: 'X-Content-Type-Options',
value: 'nosniff'
},
{ name: 'X-Frame-Options',
value: 'DENY'
},
{ name: 'X-Powered-By',
value: 'Awesomeness'
},
{ name: 'X-XSS-Protection',
value: '1; mode=block'
},
{ name: 'Content-Security-Policy',
value: "default-src 'none'; script-src 'self' https://cdnjs.cloudflare.com connect-src 'self'; img-src 'self' data:; style-src 'self' https://cdnjs.cloudflare.com; font-src 'self' https://cdnjs.cloudflare.com; manifest-src 'self'"
}
]
};
Вышеуказанные настройки являются хорошей отправной точкой, принимая во внимание кавычки для Content-Security-Policy ключ / значение, но вы можете сделать некоторые настройки для вашего сайта. Я также покажу, как реализовать CDN здесь.
Теперь в вашем createServer() функция, вы можете зациклить пары ключ: значение и добавить их в заголовки, используя setHeader():
var security_default = require('./security-config.json5');
for(let i = 0; i < security_default.security.length; i++) {
res.setHeader(
security_default.security[i].name,
security_default.security[i].value
);
}
Helmet Узел-модуль на npm отличный, но он раздутый (требует 3 МБ дискового пространства) и требует регулярного обновления, хотя этот метод является легким (<850 байт), подключаемым и обслуживаемым для тех, кто не хочет использовать промежуточное ПО.