node-npm安全性插件helmet

发布时间:2020-08-09编辑:佚名阅读(1861)

基于node-express的一款安全防护中间件,可以通过设置各种HTTP标题来帮助您保护您的Express应用程序。

一、安装

首先运行

npm install helmet

引用

var express = require('express');
var helmet = require('helmet');
var app = express();
//使用helmet全部功能
app.use(helmet());
//单独使用某一功能
app.use(helmet.noCache());

二、作用

引入描述
require('helmet-csp')配置内容安全策略
require('expect-ct')配置预期证书透明度
require('dns-prefetch-control')DNS欲缓冲配置
require('frameguard')点击劫持防护
require('hide-powered-by')隐匿或虚假配置程序运行支持
require('hpkp')绑定HTTP公钥防止修改
require('hsts')使用https而不是http
require('ienoopen')防止html下载
require('nocache')禁用浏览器缓存
require('dont-sniff-mimetype')禁止嗅探MIME类型
require('referrerPolicy')隐藏Referer标题
require('x-xss-protection')防止部分XSS攻击

三、CSP策略

内容安全策略CSP(Content-Security-Policy),对于这个设置,可以帮助防止JavaScript,CSS,插件等方式的恶意注入。

大多数现代浏览器都支持一个标题Content-Security-Policy,这个标题实际上是允许在你的页面上的白名单。您可以将JavaScript,CSS,图像,插件等等列入白名单。

假设你有一个网站没有链接到外部资源,只是链接你自己的东西。你可以设置一个标题,如下所示:

Content-Security-Policy: default-src 'self'

这有效地告诉浏览器“只加载来自我自己的域的东西”。如果您正在运行example.com并且用户试图加载https://example.com/my-javascript.js,那么它将会正常运行。但是,如果用户尝试加载http://evil.com/evil.js,它将不会加载!

使用helmet增强CSP的安全性配置

// 首先确保你运行过 "npm install helmet-csp" 来获取csp的包
// 引入基于helmet的csp包
var csp = require('helmet-csp');
//各类资源文件的白名单配置
app.use(csp({
  directives: {
    defaultSrc: ["'self'", 'default.com'],
    styleSrc: ["'self'", 'maxcdn.bootstrapcdn.com'],
    imgSrc: ['img.com', 'data:'],
    sandbox: ['allow-forms', 'allow-scripts'],
    reportUri: '/report-violation',
    objectSrc: [], // An empty array allows nothing through
  }
});

四、点击劫持(Clickjacking)

说到点击劫持首先应该清楚HTML的<iframe>标签,使用这个标签可以有效地嵌入另一个HTML页面到当前页面。

Clickjacked页面通过点击隐藏的链接来欺骗用户进行不期望的操作。在一个骇人听闻的页面上,攻击者在透明层中加载另一个页面。用户认为他们正在点击可见按钮,而他们实际上是在隐藏/不可见页面上执行操作。比如我们访问的页面被内嵌到与窗口大小相同的透明的页面中,我们在输入完用户名和密码后点击登录按钮时,你的账户和密码就会被记录。

最简单解决方案当然是禁用iframe这个不安全的标签,如果一定要使用也请做好X-Frame选项头的配置。禁止浏览器在<frame>或<iframe>中呈现页面,网站可以通过确保其内容不被嵌入到其他站点中,从而避免出现Clickjacking攻击。为包含HTML内容的所有响应设置X-Frame-Options标题。

使用helmet

// 禁止任何iframe嵌套
// 设置 "X-Frame-Options: DENY".
app.use(frameguard({ action: 'deny' }));
// 仅仅允许发生同源的iframe嵌套
// Sets "X-Frame-Options: SAMEORIGIN".
app.use(frameguard({ action: 'sameorigin' }));
app.use(frameguard());  // defaults to sameorigin
// 允许一个的主机地址
// 设置 "X-Frame-Options: ALLOW-FROM http://example.com".
app.use(frameguard({
  action: 'allow-from',
  domain: 'http://example.com'
}));

helmet对于安全性的一共12种防范,在这里就不一一列举。

    关键字: node npm 安全性插件 helmet


鼓掌

0

正能量

0

0

呵呵

1


评论区