Nic*_*ado 5 javascript express reactjs helmet.js create-react-app
我正在努力使用 Express with Helmet 来提供使用“create-react-app”创建的构建。我在资源管理器控制台中收到几个与内容安全策略相关的错误:
当然,它没有显示应用程序。我注意到如果在 Express 中删除 Helmet 作为中间件,它可以工作,但这不是我想要的解决方案。这是我的服务器代码:
const express = require('express');
const helmet = require('helmet');
const cors = require('cors');
const morgan = require('morgan');
const bodyParser = require('body-parser');
/**
* Server Configuration
*/
const whitelist = [];
const app = express();
// Express Configurations
// Enable reverse proxy support in Express. This causes the the "X-Forwarded-Proto" header field to be trusted so its
// value can be used to determine the protocol. See // http://expressjs.com/api#app-settings for more details.
app.enable('trust proxy');
app.use(morgan('dev')); // Log every request to the console
app.use(helmet()); // Configure secure Headers
app.use(bodyParser.urlencoded({ extended: false })); // Enable parsing of http request body
app.use(bodyParser.json());
// CORS Configuration
const corsOptions = {
origin: (origin, callback) => {
if (whitelist.indexOf(origin) !== -1 || !origin) {
callback(null, true);
} else {
callback(new Error('Not allowed by CORS'));
}
},
};
app.use(cors(corsOptions)); // Allow CORS
/**
* Launcher method
*/
app.start = () => {
// start node server
const port = process.env.PORT || 3000;
app.listen(port, () => {
console.log(`App UI available http://localhost:${port}`);
console.log(
`Swagger UI available http://localhost:${port}/swagger/api-docs`,
);
});
};
/**
* App Initialization
*/
function initializeApp(readyCallback) {
readyCallback(null, app);
}
module.exports = (readyCallback) => {
initializeApp(readyCallback);
};谁能帮我一把?提前致谢!
Eva*_*ahn 16
头盔维护者在这里。
发生这种情况的原因是 Helmet 默认设置的内容安全策略。要解决您的问题,您需要配置 Helmet 的 CSP。
MDN 有一个关于 CSP 的很好的文档,我建议阅读它作为背景。之后,查看Helmet 的 README以了解如何配置其 CSP 组件。
为了针对此问题提供一些帮助,让我们看一下您看到的一个错误:
Content Security Policy: This page's settings blocked the loading of a resource at inline ("script-src").
此错误告诉script-src您 CSP的指令不允许内联 JavaScript,因此它已被阻止。
这被认为是“内联”JavaScript:
<script>console.log('hello world!')</script>
然而,这不是:
<script src="/foo.js"></script>
有几种方法可以解决这个问题:
向内联添加哈希或随机数,<script>并在您的 CSP 中使用它。请参阅MDN 上的此示例以获取帮助。
重构您的应用程序以完全避免内联脚本。
更新您的 CSP 以允许不安全的内联脚本。你会做这样的事情:
app.use(
helmet({
contentSecurityPolicy: {
directives: {
...helmet.contentSecurityPolicy.getDefaultDirectives(),
"script-src": ["'self'", "'unsafe-inline'", "example.com"],
},
},
})
);
请注意,这被认为是不安全的。
禁用 CSP。这是最危险的选择,所以我不推荐它。
app.use(
helmet({
contentSecurityPolicy: false,
})
);
您的其他错误,例如fonts.googleapis.com错误,请参考default-src,这是未指定指令时的回退。
总结:要解决您的问题,您需要告诉 Helmet 配置您的 CSP。
通过谷歌来到这里,提出了同样的问题。我不想降低头盔中的任何安全设置,所以我更改了我的反应构建配置。只需添加一行
INLINE_RUNTIME_CHUNK=false
到React 应用程序根目录中的.env 。然后,当您运行
npm run build构建应用程序时,所有内联脚本都将被删除,并且将不再违反 CSP。这确实在第一次加载网站时添加了一个额外的初始 HTTP GET 请求,但在我看来,这似乎值得安全优势。
| 归档时间: |
|
| 查看次数: |
2687 次 |
| 最近记录: |