快速了解helmet的使用

3,753 阅读2分钟

Helmet是什么?

helmetexpress的中间件,通过设置各种header来为express应用提供安全保护。虽然不能完全杜绝安全问题,但确实能提供某种程度的保护。

快速上手

helmet的使用非常简单。首先使用npm安装helmet

npm install helmet --save

其次在express应用中使用该中间件:

const express = require('express')
const helmet = require('helmet')
 
const app = express()
 
app.use(helmet())

helmet包含了多个中间件,每个中间件既可以单独使用,也可以通过helmet()集中配置。以是否禁用缓存的noCache中间件为例:

单独使用中间件:

app.use(helmet.noCache());

helmet函数中配置:

app.use(helmet({
    noCache: true
}));

我们接下来分别看一下几个主要的中间件的作用.

hidePoweredBy

攻击者可以针对X-Powered-By中暴露的服务器语言的漏洞进行攻击。

hidePoweredBy可以隐藏或混淆响应头中的X-Powered-By字段以迷惑攻击者。

app.use(helmet.hidePoweredBy());

也可以通过设置假的字段值来欺骗攻击者:

app.use(helmet.hidePoweredBy({setTo: 'PHP 4.2.0'}));

frameguard

攻击者骗取用户点击一个以iframe的方式隐藏的页面,来获取用户的信息。

frameguard通过设置x-frame-options来允许iframe的域。

app.use(helmet.frameguard({action: 'deny'}));

xssFilter

设置X-XSS-Protection提供基本的XSS防护,避免基本的反射性XSS攻击。

// Sets "X-XSS-Protection: 1; mode=block".
app.use(helmet.xssFilter());

noSniff

如果响应头中Content-Type没有指定,浏览器默认会自动尝试识别响应体的内容以正确解析响应的文件。

设置 X-Content-Type-Optionsnosniff后,浏览器不再进行自动识别。这意味着响应的文件类型如果与Content-Type中声明的不一致,将会被浏览器屏蔽掉。

app.use(helmet.noSniff());

ieNoOpen

有些站点可能提供了HTML文件的下载,部分IE浏览器中,该文件会在站点的上下文打开,存在脚本注入的风险。

设置X-Download-Optionsnoopen不允许在在站点的上下文打开下载的HTML文件。

app.use(helmet.ieNoOpen());

hsts

设置Strict-Transport-Security告知用户在一定的时间段使用https访问。防止降级攻击和cookie劫持。

如下设置未来的90天内只使用https访问。

app.use(helmet.hsts({maxAge: 7776000}));

dnsPrefetchControl

dns-prefetch在提升网站性能的同时,潜在地会导致用户隐私泄露、dns服务过载、页面统计失真等问题。

dnsPrefetchControl通过将X-DNS-Prefetch-Control设置为off禁止浏览器进行DNS预解析。

app.use(helmet.dnsPrefetchControl())

总结

以上简单介绍了helmet的用法和几个默认开启的中间件。helmet通过添加各种响应头来提供基本的安全防护。剩余未介绍到的中间件可以查阅其官方文档。