Wir freuen uns, Nosecone ankündigen zu können, eine Open-Source-Bibliothek, die das Festlegen von Sicherheitsheadern – wie Content Security Policy (CSP) und HTTP Strict Transport Security (HSTS) – für Anwendungen, die mit erstellt wurden, unkompliziert macht Next.js, SvelteKit und andere JavaScript-Frameworks mit Bun, Deno oder Node.js.
Während Sie Header jederzeit manuell festlegen können, nimmt die Komplexität zu, wenn Sie umgebungsspezifische Konfigurationen, dynamische Nonces für Inline-Skripte oder -Stile benötigen oder viele Variationen haben, die eine benutzerdefinierte Konfiguration erfordern.
Ob Sie sich an die strengeren Sicherheits-Header-Anforderungen von PCI DSS 4.0 anpassen, das 2025 in Kraft tritt, oder einfach nur die Sicherheit Ihrer App verbessern möchten, Nosecone bietet:
Sie können Nosecone als eigenständige Bibliothek oder zusammen mit der Arcjet-Sicherheit als Code-SDK verwenden, um die Abwehrkräfte Ihrer App gegen Angriffe, Bots und Spam weiter zu stärken.
Lesen Sie unsere Kurzanleitung und überprüfen Sie den Quellcode auf GitHub.
Nosecone bietet eine allgemeine JS-API, einen Middleware-Adapter für Next.js und Konfigurations-Hooks für SvelteKit, um sinnvolle Standardeinstellungen festzulegen. Sie können sie lokal testen und die Konfiguration einfach als Code anpassen.
Nosecone ist Open Source und unterstützt die folgenden Sicherheitsheader:
Die Standardeinstellungen sehen so aus:
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Nosecone stellt einen Next.js-Middleware-Adapter zum Festlegen der Standardheader bereit.
Installieren Sie mit npm i @nosecone/next und richten Sie dann diese middleware.ts-Datei ein. Einzelheiten finden Sie in den Dokumenten.
import { createMiddleware } from "@nosecone/next";
// Remove your middleware matcher so Nosecone runs on every route.
export default createMiddleware();
Nosecone bietet eine CSP-Konfiguration und einen Hook zum Festlegen der Standardsicherheitsheader in SvelteKit.
Installieren Sie mit npm i @nosecone/sveltekit und richten Sie dann diese svelte.config.js-Datei ein. Einzelheiten finden Sie in den Dokumenten.
import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"
/** @type {import('@sveltejs/kit').Config} */
const config = {
preprocess: vitePreprocess(),
kit: {
// Apply CSP with Nosecone defaults
csp: csp(),
adapter: adapter(),
},
};
export default config;
Wenn der CSP in der SvelteKit-Konfiguration festgelegt ist, können Sie dann die anderen Sicherheitsheader als Hook in src/hooks.server.ts einrichten
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Nosecone kann mit Ihrem Bun-Webserver verbunden werden, um die Sicherheitsantwort-Header direkt festzulegen.
Installieren Sie es mit Bun Add Nosecone und fügen Sie es dann Ihrem Server hinzu. Einzelheiten finden Sie in den Dokumenten.
import { createMiddleware } from "@nosecone/next";
// Remove your middleware matcher so Nosecone runs on every route.
export default createMiddleware();
Nosecone arbeitet mit Deno Serve zusammen, um die Sicherheitsheader festzulegen. Installieren Sie deno add npm:nosecone und fügen Sie dies dann Ihrem Server hinzu. Einzelheiten finden Sie in den Dokumenten.
import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"
/** @type {import('@sveltejs/kit').Config} */
const config = {
preprocess: vitePreprocess(),
kit: {
// Apply CSP with Nosecone defaults
csp: csp(),
adapter: adapter(),
},
};
export default config;
Nosecone kann auch mit Node.js-Anwendungen funktionieren, aber wenn Sie Express.js (allein oder mit Remix) verwenden, empfehlen wir die Verwendung von Helmet, das einen Großteil unserer Arbeit an Nosecone beeinflusst hat.
Installieren Sie mit npm i Nosecone und legen Sie dies dann auf Ihrem Node.js-Server fest. Einzelheiten finden Sie in den Dokumenten.
import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";
export const handle = sequence(createHook());
Nosecone ist Open Source, Sie können also gerne Probleme für Verbesserungen oder Änderungen einreichen. Wir sind auch auf Discord, wenn du Hilfe brauchst!
Das obige ist der detaillierte Inhalt vonNosecone: eine Bibliothek zum Festlegen von Sicherheitsheadern in Next.js, SvelteKit, Node.js, Bun und Deno. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
