国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

首頁 web前端 js教程 Nosecone:用於在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)定安全標(biāo)頭的函式庫

Nosecone:用於在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)定安全標(biāo)頭的函式庫

Dec 17, 2024 pm 10:44 PM

Nosecone: a library for setting security headers in Next.js, SvelteKit, Node.js, Bun, and Deno

我們很高興地宣布Nosecone,這是一個開源庫,旨在為使用以下內(nèi)容構(gòu)建的應(yīng)用程式直接設(shè)置安全標(biāo)頭(例如內(nèi)容安全策略(CSP) 和HTTP 嚴(yán)格傳輸安全(HSTS)) Next.js、SvelteKit 和其他使用Bun、Deno 或Node.js 的JavaScript 框架。

雖然您始終可以手動設(shè)定標(biāo)頭,但當(dāng)您需要特定於環(huán)境的配置、內(nèi)聯(lián)腳本或樣式的動態(tài)隨機(jī)數(shù),或者有許多需要自訂配置的變體時,複雜性就會增加。

無論您是要適應(yīng) 2025 年生效的 PCI DSS 4.0 更嚴(yán)格的安全標(biāo)頭要求,還是只是希望增強(qiáng)應(yīng)用程式的安全性,Nosecone 都可以提供:

  • 具有實(shí)用預(yù)設(shè)值的型別安全 API。
  • Next.js 的中間件適配器。
  • SvelteKit 的配置掛鉤。
  • 與 Bun、Deno 和 Node.js 中的 Web 伺服器輕鬆整合。

您可以將 Nosecone 作為獨(dú)立庫使用,或與 Arcjet 安全即程式碼 SDK 一起使用,以進(jìn)一步增強(qiáng)應(yīng)用程式對攻擊、機(jī)器人和垃圾郵件的防禦能力。

閱讀我們的快速入門指南並查看GitHub 上的源代碼。

安全標(biāo)頭

Nosecone 提供了通用的 JS API、Next.js 的中間件適配器以及 SvelteKit 的配置掛鉤來設(shè)定合理的預(yù)設(shè)值。您可以在本地測試它們並輕鬆調(diào)整配置作為程式碼。

Nosecone 是開源的,支援以下安全標(biāo)頭:

  • 內(nèi)容安全策略 (CSP)
  • 跨源嵌入器策略 (COEP)
  • 跨源開啟者政策
  • 跨源資源策略
  • 起源-代理-群集
  • 推薦人政策
  • 嚴(yán)格傳輸安全 (HSTS)
  • X-內(nèi)容類型-選項(xiàng)
  • X-DNS-預(yù)取-控制
  • X-下載選項(xiàng)
  • X 框架選項(xiàng)
  • X 允許的跨域策略
  • X-XSS-保護(hù)

預(yù)設(shè)值如下圖所示:

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

設(shè)定 Next.js 安全標(biāo)頭

Nosecone 提供了一個 Next.js 中間件適配器來設(shè)定預(yù)設(shè)標(biāo)頭。

使用 npm i @nosecone/next 安裝,然後設(shè)定此 middleware.ts 檔案。有關(guān)詳細(xì)信息,請參閱文件

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

設(shè)定 SvelteKit 安全標(biāo)頭

Nosecone 提供了一個 CSP 配置和一個鉤子來設(shè)定 SvelteKit 中的預(yù)設(shè)安全標(biāo)頭。

使用 npm i @nosecone/sveltekit 安裝,然後設(shè)定此 svelte.config.js 檔案。有關(guān)詳細(xì)信息,請參閱文件

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

在 SvelteKit 設(shè)定上設(shè)定 CSP 後,您可以將其他安全標(biāo)頭設(shè)定為 src/hooks.server.ts 中的掛鉤

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

設(shè)定 Bun 安全標(biāo)頭

Nosecone 可以連線到您的 Bun Web 伺服器以直接設(shè)定安全回應(yīng)標(biāo)頭。

使用bun add nosecone進(jìn)行安裝,然後將其新增至您的伺服器。有關(guān)詳細(xì)信息,請參閱文件。 

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

設(shè)定 Deno 安全標(biāo)頭

Nosecone 與 Denoserve 一起設(shè)定安全標(biāo)頭。安裝 eno add npm:nosecone 並將其新增至您的伺服器。有關(guān)詳細(xì)信息,請參閱文件

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

設(shè)定 Node.js 安全標(biāo)頭

Nosecone 也可以與Node.js 應(yīng)用程式一起使用,但如果您使用Express.js(單獨(dú)或與Remix 一起使用),那麼我們建議使用Helmet,它為我們在Nosecone 上的工作提供了很多資訊。

使用 npm i nosecone 安裝,然後在 Node.js 伺服器上進(jìn)行設(shè)定。有關(guān)詳細(xì)信息,請參閱文件。 

import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";

export const handle = sequence(createHook());

貢獻(xiàn)

Nosecone 是開源的,因此請隨時提交問題以進(jìn)行任何改進(jìn)或更改。如果您需要協(xié)助,我們也可以使用 Discord!

以上是Nosecone:用於在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)定安全標(biāo)頭的函式庫的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願投稿,版權(quán)歸原作者所有。本站不承擔(dān)相應(yīng)的法律責(zé)任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容,請聯(lián)絡(luò)admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動的應(yīng)用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強(qiáng)大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

Java vs. JavaScript:清除混亂 Java vs. JavaScript:清除混亂 Jun 20, 2025 am 12:27 AM

Java和JavaScript是不同的編程語言,各自適用於不同的應(yīng)用場景。 Java用於大型企業(yè)和移動應(yīng)用開發(fā),而JavaScript主要用於網(wǎng)頁開發(fā)。

JavaScript評論:簡短說明 JavaScript評論:簡短說明 Jun 19, 2025 am 12:40 AM

JavascriptconcommentsenceenceEncorenceEnterential gransimenting,reading and guidingCodeeXecution.1)單inecommentsareusedforquickexplanations.2)多l(xiāng)inecommentsexplaincomplexlogicorprovideDocumentation.3)

如何在JS中與日期和時間合作? 如何在JS中與日期和時間合作? Jul 01, 2025 am 01:27 AM

JavaScript中的日期和時間處理需注意以下幾點(diǎn):1.創(chuàng)建Date對像有多種方式,推薦使用ISO格式字符串以保證兼容性;2.獲取和設(shè)置時間信息可用get和set方法,注意月份從0開始;3.手動格式化日期需拼接字符串,也可使用第三方庫;4.處理時區(qū)問題建議使用支持時區(qū)的庫,如Luxon。掌握這些要點(diǎn)能有效避免常見錯誤。

JavaScript與Java:開發(fā)人員的全面比較 JavaScript與Java:開發(fā)人員的全面比較 Jun 20, 2025 am 12:21 AM

JavaScriptIspreferredforredforwebdevelverment,而Javaisbetterforlarge-ScalebackendsystystemsandSandAndRoidApps.1)JavascriptexcelcelsincreatingInteractiveWebexperienceswebexperienceswithitswithitsdynamicnnamicnnamicnnamicnnamicnemicnemicnemicnemicnemicnemicnemicnemicnddommanipulation.2)

為什麼要將標(biāo)籤放在的底部? 為什麼要將標(biāo)籤放在的底部? Jul 02, 2025 am 01:22 AM

PlacingtagsatthebottomofablogpostorwebpageservespracticalpurposesforSEO,userexperience,anddesign.1.IthelpswithSEObyallowingsearchenginestoaccesskeyword-relevanttagswithoutclutteringthemaincontent.2.Itimprovesuserexperiencebykeepingthefocusonthearticl

JavaScript:探索用於高效編碼的數(shù)據(jù)類型 JavaScript:探索用於高效編碼的數(shù)據(jù)類型 Jun 20, 2025 am 12:46 AM

javascripthassevenfundaMentalDatatypes:數(shù)字,弦,布爾值,未定義,null,object和symbol.1)numberSeadUble-eaduble-ecisionFormat,forwidevaluerangesbutbecautious.2)

什麼是在DOM中冒泡和捕獲的事件? 什麼是在DOM中冒泡和捕獲的事件? Jul 02, 2025 am 01:19 AM

事件捕獲和冒泡是DOM中事件傳播的兩個階段,捕獲是從頂層向下到目標(biāo)元素,冒泡是從目標(biāo)元素向上傳播到頂層。 1.事件捕獲通過addEventListener的useCapture參數(shù)設(shè)為true實(shí)現(xiàn);2.事件冒泡是默認(rèn)行為,useCapture設(shè)為false或省略;3.可使用event.stopPropagation()阻止事件傳播;4.冒泡支持事件委託,提高動態(tài)內(nèi)容處理效率;5.捕獲可用於提前攔截事件,如日誌記錄或錯誤處理。了解這兩個階段有助於精確控制JavaScript響應(yīng)用戶操作的時機(jī)和方式。

Java和JavaScript有什麼區(qū)別? Java和JavaScript有什麼區(qū)別? Jun 17, 2025 am 09:17 AM

Java和JavaScript是不同的編程語言。 1.Java是靜態(tài)類型、編譯型語言,適用於企業(yè)應(yīng)用和大型系統(tǒng)。 2.JavaScript是動態(tài)類型、解釋型語言,主要用於網(wǎng)頁交互和前端開發(fā)。

See all articles