堆棧內存溢出
  簡體   English   中英

nodeJS https-無法設置內容安全策略

[英]nodeJS https - unable to set Content-Security-Policy

 原文  2018-09-12 09:24:01       node.js/ https/ content-security-policy/ helmet.js

問題描述

我正在嘗試使用HTTPS和Express編寫一個簡單的NodeJS HTTPS Web服務器,該服務器具有可配置的Content-Security-Policy。

我嘗試在服務器響應對象中設置Content-Security-Policy標頭屬性,但始終只發送“ default-src'self'”。 看來HTTPS模塊會覆蓋我指定的內容。

我也嘗試過使用helmet-csp npm軟件包,也沒有成功。

這是我的代碼段: 

var app = express();
var sslOptions = {
    cert: fs.readFileSync(ourPath + "/certs/server.crt"),
    key: fs.readFileSync(ourPath + "/certs/server.pem")
};
var httpsServer = https.createServer(sslOptions, app);

var server = httpsServer.listen(secPort /*443*/, function () {
    console.log('HTTPS Server listening at port %d', secPort);
});

// Trap the incoming request, and preset the CSP in the response header
server.on('request',(req,res)=>{
    res.setHeader("Content-Security-policy","* 'inline-eval';");
});

1 個解決方案

解決方案1
 0  2018-09-12 09:42:57

您只需要在HTTP標頭(而不是HTML)中進行設置即可。 這是帶有靜態服務器的express 4的工作示例: 

 var express = require('express'); var app = express(); app.use(function(req, res, next) { res.setHeader("Content-Security-Policy", "script-src 'self' https://apis.google.com"); return next(); }); app.use(express.static(__dirname + '/')); app.listen(process.env.PORT || 3000);

如果您想了解有關CSP的更多信息,這是一篇很棒的文章: http ://www.html5rocks.com/en/tutorials/security/content-security-policy/

希望有幫助!

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 內容安全策略框架祖先“無”不起作用 內容安全策略塊 Vue.js Content-Security-Policy 不會在 React 中從外部源加載圖像 Electron 內容安全策略 - 允許本地主機 API 調用 Content Security Policy nodejs program nodejs / reactjs SPA中的內容安全策略實現? 如何在Koa中根據文件類型設置額外的內容安全策略? 如何為 HTML 屬性設置內容安全策略 難以使 nonce 解決方法適用於 trix-editor style-src content-security-policy violations nodeJS - 我可以將內容安全策略放在哪里
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM