快速了解helmet的使用

Helmet是什么？

helmet是express的中间件，经过设置各类header来为express应用提供安全保护。虽然不能彻底杜绝安全问题，但确实能提供某种程度的保护。

快速上手

helmet的使用很是简单。首先使用npm安装helmet：

npm install helmet --save
复制代码

其次在express应用中使用该中间件：

const express = require('express')
const helmet = require('helmet')
 
const app = express()
 
app.use(helmet())
复制代码

helmet包含了多个中间件，每一个中间件既能够单独使用，也能够经过helmet()集中配置。以是否禁用缓存的noCache中间件为例：

单独使用中间件：

app.use(helmet.noCache());
复制代码

在helmet函数中配置：

app.use(helmet({
    noCache: true
}));
复制代码

咱们接下来分别看一下几个主要的中间件的做用.

hidePoweredBy

攻击者能够针对X-Powered-By中暴露的服务器语言的漏洞进行攻击。

hidePoweredBy能够隐藏或混淆响应头中的X-Powered-By字段以迷惑攻击者。

app.use(helmet.hidePoweredBy());
复制代码

也能够经过设置假的字段值来欺骗攻击者：

app.use(helmet.hidePoweredBy({setTo: 'PHP 4.2.0'}));
复制代码

frameguard

攻击者骗取用户点击一个以iframe的方式隐藏的页面，来获取用户的信息。

frameguard经过设置x-frame-options来容许iframe的域。

app.use(helmet.frameguard({action: 'deny'}));
复制代码

xssFilter

设置X-XSS-Protection提供基本的XSS防御，避免基本的反射性XSS攻击。

// Sets "X-XSS-Protection: 1; mode=block".
app.use(helmet.xssFilter());
复制代码

noSniff

若是响应头中Content-Type没有指定，浏览器默认会自动尝试识别响应体的内容以正确解析响应的文件。

设置 X-Content-Type-Options为nosniff后，浏览器再也不进行自动识别。这意味着响应的文件类型若是与Content-Type中声明的不一致，将会被浏览器屏蔽掉。

app.use(helmet.noSniff());
复制代码

ieNoOpen

有些站点可能提供了HTML文件的下载，部分IE浏览器中，该文件会在站点的上下文打开，存在脚本注入的风险。

设置X-Download-Options为noopen不容许在在站点的上下文打开下载的HTML文件。

app.use(helmet.ieNoOpen());
复制代码

hsts

设置Strict-Transport-Security告知用户在必定的时间段使用https访问。防止降级攻击和cookie劫持。

以下设置将来的90天内只使用https访问。

app.use(helmet.hsts({maxAge: 7776000}));
复制代码

dnsPrefetchControl

dns-prefetch在提高网站性能的同时，潜在地会致使用户隐私泄露、dns服务过载、页面统计失真等问题。

dnsPrefetchControl经过将X-DNS-Prefetch-Control设置为off禁止浏览器进行DNS预解析。

app.use(helmet.dnsPrefetchControl())
复制代码

总结

以上简单介绍了helmet的用法和几个默认开启的中间件。helmet经过添加各类响应头来提供基本的安全防御。剩余未介绍到的中间件能够查阅其官方文档。