탐색 도움말
로그인
maixinrong
/
Calculation
1
0
포크 0
파일 이슈 0 풀 리퀘스트 0 위키
브렌치: dev
브랜치 태그
Calculation
/
app
/
middleware
/
http_header.js

http_header.js 1.6 KB
고유링크 히스토리 Raw

12345678910111213141516171819202122232425262728293031 
  1. 'use strict';
    2. 

  2. 

  3. module.exports = options => {
    4. 

  4.     return async function httpHeader(ctx, next) {
    5. 

  5.         await next();
    6. 

  6. 

  7.         // CT-638506 避免获取用户敏感信息
    8. 

  8.         ctx.set('X-Content-Type-Options', 'nosniff');
    9. 

  9.         // CT-638385 点击劫持相关
    10. 

  10.         // 禁止以iframe或者frame的形式嵌入 (deny/sameorign都可)
    11. 

  11.          ctx.set('X-Frame-Options', 'deny');
    12. 

  12.         // CT-638235
    13. 

  13.         // 避免钓鱼欺骗 (启用XSS过滤器。如果检测到攻击,浏览器将不会清理页面,而是完全阻止页面的渲染)
    14. 

  14.         ctx.set('X-XSS-Protection', '1; mode=block');
    15. 

  15.         // 可以节省一次请求重定向(HSTS预加载服务,按指示提交域名后,浏览器将永不使用非安全方式链接)
    16. 

  16.         ctx.set('strict-transport-security', 'max-age=31536000; includeSubDomains; preload');
    17. 

  17.         //
    18. 

  18.         const csp = [
    19. 

  19.             'default-src', `'self' data: blob: 'unsafe-inline' 'unsafe-eval' https://*.smartcost.com.cn https://*.aliyuncs.com https://*.qq.com/ https://*.baidu.com/ http://*.baidu.com/`,
    20. 

  20.         ];
    21. 

  21.         ctx.set('Content-Security-Policy', csp.join(' '));
    22. 

  22.         // IE8以上版本用户,在下载时,不显示打开选项
    23. 

  23.         ctx.set('X-Download-Options', 'noopen');
    24. 

  24.         // 针对三方网站隐藏referer,防止隐私泄露和钓鱼攻击
    25. 

  25.         // same-origin 同源则发送,反之不发送
    26. 

  26.         // strict-origin 安全级别相同发送,反之不发送(例如https->http)
    27. 

  27.         ctx.set('referer-policy', 'same-origin');
    28. 

  28.         //
    29. 

  29.         ctx.set('X-Permitted-Cross-Domain-Policies', 'master-only');
    30. 

  30.     };
    31. 

  31. };
    32.