首页 发现 帮助
登录
maixinrong
/
Calculation
1
0
派生 0
文件 工单管理 0 合并请求 0 Wiki
分支: dev
分支列表 标签列表
Calculation
/
app
/
middleware
/
http_header.js

http_header.js 1.6 KB
永久链接 文件历史 原始文件

12345678910111213141516171819202122232425262728293031 
  1. 'use strict';
    2. 

  2. 

  3. module.exports = options => {
    4. 

  4.     return async function httpHeader(ctx, next) {
    5. 

  5.         await next();
    6. 

  6. 

  7.         // CT-638506 避免获取用户敏感信息
    8. 

  8.         ctx.set('X-Content-Type-Options', 'nosniff');
    9. 

  9.         // CT-638385 点击劫持相关
    10. 

  10.         // 禁止以iframe或者frame的形式嵌入 (deny/sameorign都可)
    11. 

  11.          ctx.set('X-Frame-Options', 'deny');
    12. 

  12.         // CT-638235
    13. 

  13.         // 避免钓鱼欺骗 (启用XSS过滤器。如果检测到攻击,浏览器将不会清理页面,而是完全阻止页面的渲染)
    14. 

  14.         ctx.set('X-XSS-Protection', '1; mode=block');
    15. 

  15.         // 可以节省一次请求重定向(HSTS预加载服务,按指示提交域名后,浏览器将永不使用非安全方式链接)
    16. 

  16.         ctx.set('strict-transport-security', 'max-age=31536000; includeSubDomains; preload');
    17. 

  17.         //
    18. 

  18.         const csp = [
    19. 

  19.             'default-src', `'self' data: blob: 'unsafe-inline' 'unsafe-eval' https://*.smartcost.com.cn https://*.aliyuncs.com https://*.qq.com/ https://*.baidu.com/ http://*.baidu.com/`,
    20. 

  20.         ];
    21. 

  21.         ctx.set('Content-Security-Policy', csp.join(' '));
    22. 

  22.         // IE8以上版本用户,在下载时,不显示打开选项
    23. 

  23.         ctx.set('X-Download-Options', 'noopen');
    24. 

  24.         // 针对三方网站隐藏referer,防止隐私泄露和钓鱼攻击
    25. 

  25.         // same-origin 同源则发送,反之不发送
    26. 

  26.         // strict-origin 安全级别相同发送,反之不发送(例如https->http)
    27. 

  27.         ctx.set('referer-policy', 'same-origin');
    28. 

  28.         //
    29. 

  29.         ctx.set('X-Permitted-Cross-Domain-Policies', 'master-only');
    30. 

  30.     };
    31. 

  31. };
    32.