如何在 express.js node.js 中设置 X-Frame-Options
Posted
技术标签:
【中文标题】如何在 express.js node.js 中设置 X-Frame-Options【英文标题】:How to set X-Frame-Options in express.js node.js 【发布时间】:2018-04-10 10:42:42 【问题描述】:我想在几个桌面/移动网络客户端的 iframe 中提供一些静态资产。
现在,我如何将允许的特定来源集列入白名单 设置 X-Frame-Options 标头,以便资源可以嵌入为 iframe 在不同的桌面/移动网络客户端中。 并且对于所有其他来源都拒绝访问此资源。
稍微挖掘一下,我开始了 -
const app = express();
var allowCrossDomain = function (req, res, next)
res.header('Access-Control-Allow-Origin', '*');
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, X-Requested-With, Authorization');
if (req.method === "OPTIONS") res.send(200);
else next();
app.use(allowCrossDomain);
现在我如何设置 X-Frame-Options 标头与白名单中的原始值 -
【问题讨论】:
【参考方案1】:您应该导入 helmet 并使用 frameguard 将一些来源列入白名单。有关此主题的更多信息:MDN X-FRAME-OPTIONSBest Practice Security
【讨论】:
根据 MDN,“x-Frame-Options”在现代浏览器中已过时,最好避免使用它:helmetjs.github.io/docs/frameguard(阅读“允许来自”部分)【参考方案2】:您只需要helmet
npm install helmet --save
const express = require('express')
const helmet = require('helmet')
const app = express()
app.use(helmet.frameguard())
【讨论】:
如果我只添加 app.use(helmet()) 可以吗?我正在使用头盔版本 3.21.3 @BijaySingh 是的,应该这样做..根据文档helmetjs.github.io/docs以上是关于如何在 express.js node.js 中设置 X-Frame-Options的主要内容,如果未能解决你的问题,请参考以下文章
无法在我的 Node.js Express.js 应用程序中设置路由
如何使用弹性 beantalk 中的 express.js 进行反应构建?
如何在 Node.js / Express.js 中将中间件放在它自己的文件中
会话如何在 Express.js 和 Node.js 中工作?