


Nous sommes ravis d'annoncer Nosecone, une bibliothèque open source conçue pour faciliter la configuration des en-têtes de sécurité, tels que la politique de sécurité du contenu (CSP) et la sécurité du transport HTTP Strict (HSTS), pour les applications créées avec Next.js, SvelteKit et autres frameworks JavaScript utilisant Bun, Deno ou Node.js.
Bien que vous puissiez toujours définir les en-têtes manuellement, la complexité augmente lorsque vous avez besoin de configurations spécifiques à l'environnement, de valeurs occasionnelles dynamiques pour les scripts ou les styles en ligne, ou lorsque vous avez de nombreuses variantes nécessitant une configuration personnalisée.
Que vous vous adaptiez aux exigences plus strictes en matière d'en-tête de sécurité de la norme PCI DSS 4.0 qui entrera en vigueur en 2025 ou que vous cherchiez simplement à améliorer la sécurité de votre application, Nosecone vous propose :
- Une API de type sécurisé avec des valeurs par défaut pragmatiques.
- Adaptateurs middleware pour Next.js.
- Hooks de configuration pour SvelteKit.
- Intégration facile avec les serveurs Web dans Bun, Deno et Node.js.
Vous pouvez utiliser Nosecone comme bibliothèque autonome ou avec la sécurité Arcjet en tant que SDK de code pour renforcer davantage les défenses de votre application contre les attaques, les robots et le spam.
Lisez notre guide de démarrage rapide et vérifiez le code source sur GitHub.
En-têtes de sécurité
Nosecone fournit une API JS générale, un adaptateur middleware pour Next.js et des hooks de configuration pour SvelteKit afin de définir des valeurs par défaut raisonnables. Vous pouvez les tester localement et ajuster facilement la configuration sous forme de code.
Nosecone est open source et prend en charge les en-têtes de sécurité suivants :
- Politique de sécurité du contenu (CSP)
- Politique d'intégration d'origine croisée (COEP)
- Politique d'ouverture d'origines croisées
- Politique-de-ressources-d'origine croisée
- Origin-Agent-Cluster
- Politique de référencement
- Sécurité stricte des transports (HSTS)
- Options de type de contenu X
- X-DNS-Prefetch-Control
- X-Options de téléchargement
- Options X-Frame
- Politiques-X-Permises-Cross-Domain
- Protection X-XSS
Les valeurs par défaut ressemblent à ceci :
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Définition des en-têtes de sécurité Next.js
Nosecone fournit un adaptateur middleware Next.js pour définir les en-têtes par défaut.
Installez avec npm i @nosecone/next puis configurez ce fichier middleware.ts. Voir la documentation pour plus de détails.
import { createMiddleware } from "@nosecone/next"; // Remove your middleware matcher so Nosecone runs on every route. export default createMiddleware();
Définition des en-têtes de sécurité SvelteKit
Nosecone fournit une configuration CSP et un hook pour définir les en-têtes de sécurité par défaut dans SvelteKit.
Installez avec npm i @nosecone/sveltekit puis configurez ce fichier svelte.config.js. Voir la documentation pour plus de détails.
import adapter from "@sveltejs/adapter-auto"; import { vitePreprocess } from "@sveltejs/vite-plugin-svelte"; import { csp } from "@nosecone/sveltekit" /** @type {import('@sveltejs/kit').Config} */ const config = { preprocess: vitePreprocess(), kit: { // Apply CSP with Nosecone defaults csp: csp(), adapter: adapter(), }, }; export default config;
Avec le CSP défini sur la configuration SvelteKit, vous pouvez ensuite configurer les autres en-têtes de sécurité comme hook dans src/hooks.server.ts
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Définition des en-têtes de sécurité Bun
Nosecone peut être connecté à votre serveur web Bun pour définir directement les en-têtes de réponse de sécurité.
Installez avec bun add nosecone, puis ajoutez-le à votre serveur. Voir la documentation pour plus de détails.
import { createMiddleware } from "@nosecone/next"; // Remove your middleware matcher so Nosecone runs on every route. export default createMiddleware();
Définition des en-têtes de sécurité Deno
Nosecone fonctionne avec Deno serve pour définir les en-têtes de sécurité. Installez deno add npm:nosecone, puis ajoutez-le à votre serveur. Voir la documentation pour plus de détails.
import adapter from "@sveltejs/adapter-auto"; import { vitePreprocess } from "@sveltejs/vite-plugin-svelte"; import { csp } from "@nosecone/sveltekit" /** @type {import('@sveltejs/kit').Config} */ const config = { preprocess: vitePreprocess(), kit: { // Apply CSP with Nosecone defaults csp: csp(), adapter: adapter(), }, }; export default config;
Définition des en-têtes de sécurité Node.js
Nosecone peut également fonctionner avec les applications Node.js, mais si vous utilisez Express.js (seul ou avec Remix), nous vous recommandons d'utiliser Helmet, qui a éclairé une grande partie de notre travail sur Nosecone.
Installez avec npm i nosecone, puis configurez-le sur votre serveur Node.js. Voir la documentation pour plus de détails.
import { createHook } from "@nosecone/sveltekit"; import { sequence } from "@sveltejs/kit/hooks"; export const handle = sequence(createHook());
Contribuer
Nosecone est open source, alors n'hésitez pas à soumettre des problèmes pour toute amélioration ou modification. Nous sommes également sur Discord si vous avez besoin d'aide !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Explication détaillée de la méthode de remplacement de la chaîne JavaScript et de la FAQ Cet article explorera deux façons de remplacer les caractères de chaîne dans JavaScript: le code JavaScript interne et le HTML interne pour les pages Web. Remplacer la chaîne dans le code JavaScript Le moyen le plus direct consiste à utiliser la méthode Remplace (): str = str.replace ("trouver", "remplacer"); Cette méthode remplace uniquement la première correspondance. Pour remplacer toutes les correspondances, utilisez une expression régulière et ajoutez le drapeau global G: str = str.replace (/ fi

Ce tutoriel vous montre comment intégrer une API de recherche Google personnalisée dans votre blog ou site Web, offrant une expérience de recherche plus raffinée que les fonctions de recherche de thème WordPress standard. C'est étonnamment facile! Vous pourrez restreindre les recherches à Y

Cette série d'articles a été réécrite à la mi-2017 avec des informations à jour et de nouveaux exemples. Dans cet exemple JSON, nous examinerons comment nous pouvons stocker des valeurs simples dans un fichier à l'aide du format JSON. En utilisant la notation de paire de valeurs clés, nous pouvons stocker n'importe quel type

Vous voici donc, prêt à tout savoir sur cette chose appelée Ajax. Mais qu'est-ce que c'est exactement? Le terme Ajax fait référence à un regroupement lâche de technologies utilisées pour créer un contenu Web interactif dynamique. Le terme Ajax, inventé à l'origine par Jesse J

Tirez parti de jQuery pour les dispositions de page Web sans effort: 8 plugins essentiels JQuery simplifie considérablement la mise en page de la page Web. Cet article met en évidence huit puissants plugins jQuery qui rationalisent le processus, particulièrement utile pour la création de sites Web manuels

Points de base Ceci dans JavaScript fait généralement référence à un objet qui "possède" la méthode, mais cela dépend de la façon dont la fonction est appelée. Lorsqu'il n'y a pas d'objet actuel, cela fait référence à l'objet global. Dans un navigateur Web, il est représenté par Window. Lorsque vous appelez une fonction, cela maintient l'objet global; mais lors de l'appel d'un constructeur d'objets ou de l'une de ses méthodes, cela fait référence à une instance de l'objet. Vous pouvez modifier le contexte de ceci en utilisant des méthodes telles que Call (), Appliquer () et Bind (). Ces méthodes appellent la fonction en utilisant la valeur et les paramètres donnés. JavaScript est un excellent langage de programmation. Il y a quelques années, cette phrase était

JQuery est un excellent cadre JavaScript. Cependant, comme pour n'importe quelle bibliothèque, il est parfois nécessaire de passer sous le capot pour découvrir ce qui se passe. C'est peut-être parce que vous tracez un bug ou que vous êtes simplement curieux de savoir comment jQuery réalise une interface utilisateur particulière

Ce message compile des feuilles de triche utiles, des guides de référence, des recettes rapides et des extraits de code pour le développement d'Android, BlackBerry et Iphone. Aucun développeur ne devrait être sans eux! Guide de référence sur les gestes touchés (PDF) Une ressource précieuse pour Desig


Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

MantisBT
Mantis est un outil Web de suivi des défauts facile à déployer, conçu pour faciliter le suivi des défauts des produits. Cela nécessite PHP, MySQL et un serveur Web. Découvrez nos services de démonstration et d'hébergement.

MinGW - GNU minimaliste pour Windows
Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
