亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

首頁(yè) web前端 js教程 Nosecone:用于在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)置安全標(biāo)頭的庫(kù)

Nosecone:用于在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)置安全標(biāo)頭的庫(kù)

Dec 17, 2024 pm 10:44 PM

Nosecone: a library for setting security headers in Next.js, SvelteKit, Node.js, Bun, and Deno

我們很高興地宣布 Nosecone,這是一個(gè)開(kāi)源庫(kù),旨在為使用以下內(nèi)容構(gòu)建的應(yīng)用程序直接設(shè)置安全標(biāo)頭(例如內(nèi)容安全策略 (CSP) 和 HTTP 嚴(yán)格傳輸安全 (HSTS)) Next.js、SvelteKit 和其他使用 Bun、Deno 或 Node.js 的 JavaScript 框架。

雖然您始終可以手動(dòng)設(shè)置標(biāo)頭,但當(dāng)您需要特定于環(huán)境的配置、內(nèi)聯(lián)腳本或樣式的動(dòng)態(tài)隨機(jī)數(shù),或者有許多需要自定義配置的變體時(shí),復(fù)雜性就會(huì)增加。

無(wú)論您是要適應(yīng) 2025 年生效的 PCI DSS 4.0 更嚴(yán)格的安全標(biāo)頭要求,還是只是希望增強(qiáng)應(yīng)用程序的安全性,Nosecone 都可以提供:

  • 具有實(shí)用默認(rèn)值的類型安全 API。
  • Next.js 的中間件適配器。
  • SvelteKit 的配置掛鉤。
  • 與 Bun、Deno 和 Node.js 中的 Web 服務(wù)器輕松集成。

您可以將 Nosecone 作為獨(dú)立庫(kù)使用,或與 Arcjet 安全即代碼 SDK 一起使用,以進(jìn)一步增強(qiáng)應(yīng)用程序?qū)?、機(jī)器人和垃圾郵件的防御能力。

閱讀我們的快速入門指南并查看GitHub 上的源代碼。

安全標(biāo)頭

Nosecone 提供了通用的 JS API、Next.js 的中間件適配器以及 SvelteKit 的配置掛鉤來(lái)設(shè)置合理的默認(rèn)值。您可以在本地測(cè)試它們并輕松調(diào)整配置作為代碼。

Nosecone 是開(kāi)源的,支持以下安全標(biāo)頭:

  • 內(nèi)容安全策略 (CSP)
  • 跨源嵌入器策略 (COEP)
  • 跨源開(kāi)啟者政策
  • 跨源資源策略
  • 起源-代理-集群
  • 推薦人政策
  • 嚴(yán)格傳輸安全 (HSTS)
  • X-內(nèi)容類型-選項(xiàng)
  • X-DNS-預(yù)取-控制
  • X-下載選項(xiàng)
  • X 框架選項(xiàng)
  • X 允許的跨域策略
  • X-XSS-保護(hù)

默認(rèn)值如下所示:

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

設(shè)置 Next.js 安全標(biāo)頭

Nosecone 提供了一個(gè) Next.js 中間件適配器來(lái)設(shè)置默認(rèn)標(biāo)頭。

使用 npm i @nosecone/next 安裝,然后設(shè)置此 middleware.ts 文件。有關(guān)詳細(xì)信息,請(qǐng)參閱文檔

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

設(shè)置 SvelteKit 安全標(biāo)頭

Nosecone 提供了一個(gè) CSP 配置和一個(gè)鉤子來(lái)設(shè)置 SvelteKit 中的默認(rèn)安全標(biāo)頭。

使用 npm i @nosecone/sveltekit 安裝,然后設(shè)置此 svelte.config.js 文件。有關(guān)詳細(xì)信息,請(qǐng)參閱文檔。

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

在 SvelteKit 配置上設(shè)置 CSP 后,您可以將其他安全標(biāo)頭設(shè)置為 src/hooks.server.ts 中的掛鉤

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

設(shè)置 Bun 安全標(biāo)頭

Nosecone 可以連接到您的 Bun Web 服務(wù)器以直接設(shè)置安全響應(yīng)標(biāo)頭。

使用bun add nosecone進(jìn)行安裝,然后將其添加到您的服務(wù)器。有關(guān)詳細(xì)信息,請(qǐng)參閱文檔。

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

設(shè)置 Deno 安全標(biāo)頭

Nosecone 與 Denoserve 一起設(shè)置安全標(biāo)頭。安裝 eno add npm:nosecone 并將其添加到您的服務(wù)器。有關(guān)詳細(xì)信息,請(qǐng)參閱文檔

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

設(shè)置 Node.js 安全標(biāo)頭

Nosecone 也可以與 Node.js 應(yīng)用程序一起使用,但如果您使用 Express.js(單獨(dú)或與 Remix 一起使用),那么我們建議使用 Helmet,它為我們?cè)?Nosecone 上的工作提供了很多信息。

使用 npm i nosecone 安裝,然后在 Node.js 服務(wù)器上進(jìn)行設(shè)置。有關(guān)詳細(xì)信息,請(qǐng)參閱文檔。

import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";

export const handle = sequence(createHook());

貢獻(xiàn)

Nosecone 是開(kāi)源的,因此請(qǐng)隨時(shí)提交問(wèn)題以進(jìn)行任何改進(jìn)或更改。如果您需要幫助,我們也可以使用 Discord!

以上是Nosecone:用于在 Next.js、SvelteKit、Node.js、Bun 和 Deno 中設(shè)置安全標(biāo)頭的庫(kù)的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本站聲明
本文內(nèi)容由網(wǎng)友自發(fā)貢獻(xiàn),版權(quán)歸原作者所有,本站不承擔(dān)相應(yīng)法律責(zé)任。如您發(fā)現(xiàn)有涉嫌抄襲侵權(quán)的內(nèi)容,請(qǐng)聯(lián)系admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣服圖片

Undresser.AI Undress

Undresser.AI Undress

人工智能驅(qū)動(dòng)的應(yīng)用程序,用于創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用于從照片中去除衣服的在線人工智能工具。

Clothoff.io

Clothoff.io

AI脫衣機(jī)

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智能換臉工具輕松在任何視頻中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的代碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

功能強(qiáng)大的PHP集成開(kāi)發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺(jué)化網(wǎng)頁(yè)開(kāi)發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級(jí)代碼編輯軟件(SublimeText3)

為什么要將標(biāo)簽放在的底部? 為什么要將標(biāo)簽放在的底部? Jul 02, 2025 am 01:22 AM

PlacingtagsatthebottomofablogpostorwebpageservespracticalpurposesforSEO,userexperience,anddesign.1.IthelpswithSEObyallowingsearchenginestoaccesskeyword-relevanttagswithoutclutteringthemaincontent.2.Itimprovesuserexperiencebykeepingthefocusonthearticl

什么是在DOM中冒泡和捕獲的事件? 什么是在DOM中冒泡和捕獲的事件? Jul 02, 2025 am 01:19 AM

事件捕獲和冒泡是DOM中事件傳播的兩個(gè)階段,捕獲是從頂層向下到目標(biāo)元素,冒泡是從目標(biāo)元素向上傳播到頂層。1.事件捕獲通過(guò)addEventListener的useCapture參數(shù)設(shè)為true實(shí)現(xiàn);2.事件冒泡是默認(rèn)行為,useCapture設(shè)為false或省略;3.可使用event.stopPropagation()阻止事件傳播;4.冒泡支持事件委托,提高動(dòng)態(tài)內(nèi)容處理效率;5.捕獲可用于提前攔截事件,如日志記錄或錯(cuò)誤處理。了解這兩個(gè)階段有助于精確控制JavaScript響應(yīng)用戶操作的時(shí)機(jī)和方式。

JavaScript模塊上的確定JS綜述:ES模塊與COMPORJS JavaScript模塊上的確定JS綜述:ES模塊與COMPORJS Jul 02, 2025 am 01:28 AM

ES模塊和CommonJS的主要區(qū)別在于加載方式和使用場(chǎng)景。1.CommonJS是同步加載,適用于Node.js服務(wù)器端環(huán)境;2.ES模塊是異步加載,適用于瀏覽器等網(wǎng)絡(luò)環(huán)境;3.語(yǔ)法上,ES模塊使用import/export,且必須位于頂層作用域,而CommonJS使用require/module.exports,可在運(yùn)行時(shí)動(dòng)態(tài)調(diào)用;4.CommonJS廣泛用于舊版Node.js及依賴它的庫(kù)如Express,ES模塊則適用于現(xiàn)代前端框架和Node.jsv14 ;5.雖然可混合使用,但容易引發(fā)問(wèn)題

垃圾收集如何在JavaScript中起作用? 垃圾收集如何在JavaScript中起作用? Jul 04, 2025 am 12:42 AM

JavaScript的垃圾回收機(jī)制通過(guò)標(biāo)記-清除算法自動(dòng)管理內(nèi)存,以減少內(nèi)存泄漏風(fēng)險(xiǎn)。引擎從根對(duì)象出發(fā)遍歷并標(biāo)記活躍對(duì)象,未被標(biāo)記的則被視為垃圾并被清除。例如,當(dāng)對(duì)象不再被引用(如將變量設(shè)為null),它將在下一輪回收中被釋放。常見(jiàn)的內(nèi)存泄漏原因包括:①未清除的定時(shí)器或事件監(jiān)聽(tīng)器;②閉包中對(duì)外部變量的引用;③全局變量持續(xù)持有大量數(shù)據(jù)。V8引擎通過(guò)分代回收、增量標(biāo)記、并行/并發(fā)回收等策略優(yōu)化回收效率,降低主線程阻塞時(shí)間。開(kāi)發(fā)時(shí)應(yīng)避免不必要的全局引用、及時(shí)解除對(duì)象關(guān)聯(lián),以提升性能與穩(wěn)定性。

如何在node.js中提出HTTP請(qǐng)求? 如何在node.js中提出HTTP請(qǐng)求? Jul 13, 2025 am 02:18 AM

在Node.js中發(fā)起HTTP請(qǐng)求有三種常用方式:使用內(nèi)置模塊、axios和node-fetch。1.使用內(nèi)置的http/https模塊無(wú)需依賴,適合基礎(chǔ)場(chǎng)景,但需手動(dòng)處理數(shù)據(jù)拼接和錯(cuò)誤監(jiān)聽(tīng),例如用https.get()獲取數(shù)據(jù)或通過(guò).write()發(fā)送POST請(qǐng)求;2.axios是基于Promise的第三方庫(kù),語(yǔ)法簡(jiǎn)潔且功能強(qiáng)大,支持async/await、自動(dòng)JSON轉(zhuǎn)換、攔截器等,推薦用于簡(jiǎn)化異步請(qǐng)求操作;3.node-fetch提供類似瀏覽器fetch的風(fēng)格,基于Promise且語(yǔ)法簡(jiǎn)單

var vs Let vs const:快速JS綜述解釋器 var vs Let vs const:快速JS綜述解釋器 Jul 02, 2025 am 01:18 AM

var、let和const的區(qū)別在于作用域、提升和重復(fù)聲明。1.var是函數(shù)作用域,存在變量提升,允許重復(fù)聲明;2.let是塊級(jí)作用域,存在暫時(shí)性死區(qū),不允許重復(fù)聲明;3.const也是塊級(jí)作用域,必須立即賦值,不可重新賦值,但可修改引用類型的內(nèi)部值。優(yōu)先使用const,需改變變量時(shí)用let,避免使用var。

JavaScript數(shù)據(jù)類型:原始與參考 JavaScript數(shù)據(jù)類型:原始與參考 Jul 13, 2025 am 02:43 AM

JavaScript的數(shù)據(jù)類型分為原始類型和引用類型。原始類型包括string、number、boolean、null、undefined和symbol,其值不可變且賦值時(shí)復(fù)制副本,因此互不影響;引用類型如對(duì)象、數(shù)組和函數(shù)存儲(chǔ)的是內(nèi)存地址,指向同一對(duì)象的變量會(huì)相互影響。判斷類型可用typeof和instanceof,但需注意typeofnull的歷史問(wèn)題。理解這兩類差異有助于編寫更穩(wěn)定可靠的代碼。

如何遍歷DOM樹(shù)(例如,parentnode,children,NextElementsibling)? 如何遍歷DOM樹(shù)(例如,parentnode,children,NextElementsibling)? Jul 02, 2025 am 12:39 AM

DOM遍歷是網(wǎng)頁(yè)元素操作的基礎(chǔ),常用方法包括:1.使用parentNode獲取父節(jié)點(diǎn),可鏈?zhǔn)秸{(diào)用向上查找;2.children返回子元素集合,通過(guò)索引訪問(wèn)首個(gè)或末尾子元素;3.nextElementSibling獲取下一個(gè)兄弟元素,結(jié)合previousElementSibling實(shí)現(xiàn)同級(jí)導(dǎo)航。實(shí)際應(yīng)用如動(dòng)態(tài)修改結(jié)構(gòu)、交互效果等,例如點(diǎn)擊按鈕高亮下一個(gè)兄弟節(jié)點(diǎn),掌握這些方法后復(fù)雜操作可通過(guò)組合實(shí)現(xiàn)。

See all articles