recherche
Maisoninterface Webjs tutorielNosecone : une bibliothèque pour définir les en-têtes de sécurité dans Next.js, SvelteKit, Node.js, Bun et Deno

Nosecone: a library for setting security headers in Next.js, SvelteKit, Node.js, Bun, and Deno

Nous sommes ravis d'annoncer Nosecone, une bibliothèque open source conçue pour faciliter la configuration des en-têtes de sécurité, tels que la politique de sécurité du contenu (CSP) et la sécurité du transport HTTP Strict (HSTS), pour les applications créées avec Next.js, SvelteKit et autres frameworks JavaScript utilisant Bun, Deno ou Node.js.

Bien que vous puissiez toujours définir les en-têtes manuellement, la complexité augmente lorsque vous avez besoin de configurations spécifiques à l'environnement, de valeurs occasionnelles dynamiques pour les scripts ou les styles en ligne, ou lorsque vous avez de nombreuses variantes nécessitant une configuration personnalisée.

Que vous vous adaptiez aux exigences plus strictes en matière d'en-tête de sécurité de la norme PCI DSS 4.0 qui entrera en vigueur en 2025 ou que vous cherchiez simplement à améliorer la sécurité de votre application, Nosecone vous propose :

  • Une API de type sécurisé avec des valeurs par défaut pragmatiques.
  • Adaptateurs middleware pour Next.js.
  • Hooks de configuration pour SvelteKit.
  • Intégration facile avec les serveurs Web dans Bun, Deno et Node.js.

Vous pouvez utiliser Nosecone comme bibliothèque autonome ou avec la sécurité Arcjet en tant que SDK de code pour renforcer davantage les défenses de votre application contre les attaques, les robots et le spam.

Lisez notre guide de démarrage rapide et vérifiez le code source sur GitHub.

En-têtes de sécurité

Nosecone fournit une API JS générale, un adaptateur middleware pour Next.js et des hooks de configuration pour SvelteKit afin de définir des valeurs par défaut raisonnables. Vous pouvez les tester localement et ajuster facilement la configuration sous forme de code.

Nosecone est open source et prend en charge les en-têtes de sécurité suivants :

  • Politique de sécurité du contenu (CSP)
  • Politique d'intégration d'origine croisée (COEP)
  • Politique d'ouverture d'origines croisées
  • Politique-de-ressources-d'origine croisée
  • Origin-Agent-Cluster
  • Politique de référencement
  • Sécurité stricte des transports (HSTS)
  • Options de type de contenu X
  • X-DNS-Prefetch-Control
  • X-Options de téléchargement
  • Options X-Frame
  • Politiques-X-Permises-Cross-Domain
  • Protection X-XSS

Les valeurs par défaut ressemblent à ceci :

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Définition des en-têtes de sécurité Next.js

Nosecone fournit un adaptateur middleware Next.js pour définir les en-têtes par défaut.

Installez avec npm i @nosecone/next puis configurez ce fichier middleware.ts. Voir la documentation pour plus de détails.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

Définition des en-têtes de sécurité SvelteKit

Nosecone fournit une configuration CSP et un hook pour définir les en-têtes de sécurité par défaut dans SvelteKit.

Installez avec npm i @nosecone/sveltekit puis configurez ce fichier svelte.config.js. Voir la documentation pour plus de détails.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Avec le CSP défini sur la configuration SvelteKit, vous pouvez ensuite configurer les autres en-têtes de sécurité comme hook dans src/hooks.server.ts

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Définition des en-têtes de sécurité Bun

Nosecone peut être connecté à votre serveur web Bun pour définir directement les en-têtes de réponse de sécurité.

Installez avec bun add nosecone, puis ajoutez-le à votre serveur. Voir la documentation pour plus de détails.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

Définition des en-têtes de sécurité Deno

Nosecone fonctionne avec Deno serve pour définir les en-têtes de sécurité. Installez deno add npm:nosecone, puis ajoutez-le à votre serveur. Voir la documentation pour plus de détails.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Définition des en-têtes de sécurité Node.js

Nosecone peut également fonctionner avec les applications Node.js, mais si vous utilisez Express.js (seul ou avec Remix), nous vous recommandons d'utiliser Helmet, qui a éclairé une grande partie de notre travail sur Nosecone.

Installez avec npm i nosecone, puis configurez-le sur votre serveur Node.js. Voir la documentation pour plus de détails.

import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";

export const handle = sequence(createHook());

Contribuer

Nosecone est open source, alors n'hésitez pas à soumettre des problèmes pour toute amélioration ou modification. Nous sommes également sur Discord si vous avez besoin d'aide !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Les origines de JavaScript: explorer son langage d'implémentationLes origines de JavaScript: explorer son langage d'implémentationApr 29, 2025 am 12:51 AM

JavaScript est originaire de 1995 et a été créé par Brandon Ike, et a réalisé que la langue en langue C. 1.C offre des capacités de programmation élevées et au niveau du système pour JavaScript. 2. La gestion de la mémoire de JavaScript et l'optimisation des performances reposent sur le langage C. 3. La fonctionnalité multiplateforme du langage C aide JavaScript à s'exécuter efficacement sur différents systèmes d'exploitation.

Dans les coulisses: quel langage alimente JavaScript?Dans les coulisses: quel langage alimente JavaScript?Apr 28, 2025 am 12:01 AM

JavaScript s'exécute dans les navigateurs et les environnements Node.js et s'appuie sur le moteur JavaScript pour analyser et exécuter du code. 1) Générer une arborescence de syntaxe abstraite (AST) au stade d'analyse; 2) Convertir AST en bytecode ou code machine à l'étape de compilation; 3) Exécutez le code compilé à l'étape d'exécution.

L'avenir de Python et Javascript: tendances et prédictionsL'avenir de Python et Javascript: tendances et prédictionsApr 27, 2025 am 12:21 AM

Les tendances futures de Python et JavaScript incluent: 1. Python consolidera sa position dans les domaines de l'informatique scientifique et de l'IA, 2. JavaScript favorisera le développement de la technologie Web, 3. Le développement de plate-forme multiplié deviendra un sujet brûlant, et 4. L'optimisation des performances sera le focus. Les deux continueront d'étendre les scénarios d'application dans leurs champs respectifs et de faire plus de percées dans les performances.

Python vs JavaScript: environnements et outils de développementPython vs JavaScript: environnements et outils de développementApr 26, 2025 am 12:09 AM

Les choix de Python et JavaScript dans les environnements de développement sont importants. 1) L'environnement de développement de Python comprend Pycharm, Jupyternotebook et Anaconda, qui conviennent à la science des données et au prototypage rapide. 2) L'environnement de développement de JavaScript comprend Node.js, VScode et WebPack, qui conviennent au développement frontal et back-end. Le choix des bons outils en fonction des besoins du projet peut améliorer l'efficacité du développement et le taux de réussite du projet.

JavaScript est-il écrit en C? Examiner les preuvesJavaScript est-il écrit en C? Examiner les preuvesApr 25, 2025 am 12:15 AM

Oui, le noyau du moteur de JavaScript est écrit en C. 1) Le langage C fournit des performances efficaces et un contrôle sous-jacent, qui convient au développement du moteur JavaScript. 2) Prendre le moteur V8 comme exemple, son noyau est écrit en C, combinant l'efficacité et les caractéristiques orientées objet de C. 3) Le principe de travail du moteur JavaScript comprend l'analyse, la compilation et l'exécution, et le langage C joue un rôle clé dans ces processus.

Rôle de JavaScript: rendre le Web interactif et dynamiqueRôle de JavaScript: rendre le Web interactif et dynamiqueApr 24, 2025 am 12:12 AM

JavaScript est au cœur des sites Web modernes car il améliore l'interactivité et la dynamicité des pages Web. 1) Il permet de modifier le contenu sans rafraîchir la page, 2) manipuler les pages Web via Domapi, 3) prendre en charge les effets interactifs complexes tels que l'animation et le glisser-déposer, 4) Optimiser les performances et les meilleures pratiques pour améliorer l'expérience utilisateur.

C et JavaScript: la connexion expliquéeC et JavaScript: la connexion expliquéeApr 23, 2025 am 12:07 AM

C et JavaScript réalisent l'interopérabilité via WebAssembly. 1) Le code C est compilé dans le module WebAssembly et introduit dans un environnement JavaScript pour améliorer la puissance de calcul. 2) Dans le développement de jeux, C gère les moteurs de physique et le rendu graphique, et JavaScript est responsable de la logique du jeu et de l'interface utilisateur.

Des sites Web aux applications: les diverses applications de JavaScriptDes sites Web aux applications: les diverses applications de JavaScriptApr 22, 2025 am 12:02 AM

JavaScript est largement utilisé dans les sites Web, les applications mobiles, les applications de bureau et la programmation côté serveur. 1) Dans le développement de sites Web, JavaScript exploite DOM avec HTML et CSS pour réaliser des effets dynamiques et prend en charge des cadres tels que JQuery et React. 2) Grâce à la réactnative et ionique, JavaScript est utilisé pour développer des applications mobiles multiplateformes. 3) Le cadre électronique permet à JavaScript de créer des applications de bureau. 4) Node.js permet à JavaScript d'exécuter le côté du serveur et prend en charge les demandes simultanées élevées.

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

Video Face Swap

Video Face Swap

Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !

Outils chauds

Version crackée d'EditPlus en chinois

Version crackée d'EditPlus en chinois

Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Version Mac de WebStorm

Version Mac de WebStorm

Outils de développement JavaScript utiles

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Puissant environnement de développement intégré PHP

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)