nodeJS https - невозможно установить Content-Security-Policy

Question

nodeJS https - невозможно установить Content-Security-Policy

Я пытаюсь написать простой HTTPS-сервер NodeJS с использованием HTTPS и Express, который имеет настраиваемую Content-Security-Policy.

Я пытаюсь установить атрибут заголовка Content-Security-Policy в объекте ответа сервера, но всегда просто отправляет "default-src 'self'". похоже, что модуль HTTPS перезаписывает все, что я указываю.

Я также попытался использовать пакет hat-csp npm, но безуспешно.

Вот мой фрагмент кода:

var app = express();
var sslOptions = {
    cert: fs.readFileSync(ourPath + "/certs/server.crt"),
    key: fs.readFileSync(ourPath + "/certs/server.pem")
};
var httpsServer = https.createServer(sslOptions, app);

var server = httpsServer.listen(secPort /*443*/, function () {
    console.log('HTTPS Server listening at port %d', secPort);
});

// Trap the incoming request, and preset the CSP in the response header
server.on('request',(req,res)=>{
    res.setHeader("Content-Security-policy","* 'inline-eval';");
});

1

node.js https content-security-policy helmet.js

Источник

user8877602 12 сен '18 в 09:24

1 ответ

Другие вопросы по тегам node.js https content-security-policy helmet.js

user9166974 12 сен '18 в 09:42 2018-09-12 09:42 · Answer 1 · 2018-09-12 09:42

Вам просто нужно установить его в заголовке HTTP, а не в HTML. Это рабочий пример с Express 4 со статическим сервером:

var express = require('express');
var app = express();


app.use(function(req, res, next) {
    res.setHeader("Content-Security-Policy", "script-src 'self' https://apis.google.com");
    return next();
});

app.use(express.static(__dirname + '/'));

app.listen(process.env.PORT || 3000);

Если вам нужна дополнительная информация о CSP, это отличная статья: http://www.html5rocks.com/en/tutorials/security/content-security-policy/

Надеюсь, это поможет!