Nosecone: perpustakaan untuk menetapkan pengepala keselamatan dalam Next.js, SvelteKit, Node.js, Bun dan Deno

Kami teruja untuk mengumumkan Nosecone, perpustakaan sumber terbuka yang direka untuk membuat tetapan pengepala keselamatan—seperti Dasar Keselamatan Kandungan (CSP) dan HTTP Strict Transport Security (HSTS)—terus terang untuk aplikasi yang dibina dengan Next.js, SvelteKit dan rangka kerja JavaScript lain menggunakan Bun, Deno atau Node.js.

Walaupun anda sentiasa boleh menetapkan pengepala secara manual, kerumitan bertambah apabila anda memerlukan konfigurasi khusus persekitaran, nonces dinamik untuk skrip atau gaya sebaris atau mempunyai banyak variasi yang memerlukan konfigurasi tersuai.

Sama ada anda menyesuaikan diri dengan keperluan pengepala keselamatan yang lebih ketat PCI DSS 4.0 yang berkuat kuasa pada 2025 atau hanya ingin meningkatkan keselamatan apl anda, Nosecone menawarkan:

• API jenis selamat dengan lalai pragmatik.
• Penyesuai perisian tengah untuk Next.js.
• Kait konfigurasi untuk SvelteKit.
• Penyatuan mudah dengan pelayan web dalam Bun, Deno dan Node.js.

Anda boleh menggunakan Nosecone sebagai perpustakaan kendiri atau bersama keselamatan Arcjet sebagai SDK kod untuk mengukuhkan lagi pertahanan apl anda terhadap serangan, bot dan spam.

Baca panduan permulaan pantas kami dan semak kod sumber di GitHub.

Pengepala keselamatan

Nosecone menyediakan API JS umum, penyesuai perisian tengah untuk Next.js dan cangkuk konfigurasi untuk SvelteKit untuk menetapkan lalai yang wajar. Anda boleh mengujinya secara setempat dan melaraskan konfigurasi sebagai kod dengan mudah.

Nosecone ialah sumber terbuka dan menyokong pengepala keselamatan berikut:

• Kandungan-Keselamatan-Dasar (CSP)
• Polisi-Pembenam-Rentas Asal (COEP)
• Dasar-Pembuka-Cross-Origin
• Dasar-Sumber-Rentas-Asal
• Kluster-Agen-Asal
• Dasar-Perujuk
• Keselamatan Pengangkutan Ketat (HSTS)
• X-Content-Type-Options
• X-DNS-Prefetch-Control
• Pilihan-X-Muat Turun
• Pilihan X-Frame
• Dasar-Cross-Domain-X-Dibenarkan
• X-XSS-Perlindungan

Pilihan lalai kelihatan seperti ini:

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Menetapkan pengepala keselamatan Next.js

Nosecone menyediakan penyesuai perisian tengah Next.js untuk menetapkan pengepala lalai.

Pasang dengan npm i @nosecone/next dan kemudian sediakan fail middleware.ts ini. Lihat dokumen untuk mendapatkan butiran.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

Menetapkan pengepala keselamatan SvelteKit

Nosecone menyediakan konfigurasi CSP dan cangkuk untuk menetapkan pengepala keselamatan lalai dalam SvelteKit.

Pasang dengan npm i @nosecone/sveltekit dan kemudian sediakan fail svelte.config.js ini. Lihat dokumen untuk mendapatkan butiran.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Dengan set CSP pada konfigurasi SvelteKit, anda kemudian boleh menyediakan pengepala keselamatan yang lain sebagai cangkuk dalam src/hooks.server.ts

HTTP/1.1 200 OK
content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests;
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
origin-agent-cluster: ?1
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-download-options: noopen
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 0
Content-Type: text/plain
Date: Wed, 27 Nov 2024 21:05:50 GMT
Connection: keep-alive
Keep-Alive: timeout=5
Transfer-Encoding: chunked

Menetapkan pengepala keselamatan Bun

Nosecone boleh disambungkan ke pelayan web Bun anda untuk menetapkan secara langsung pengepala tindak balas keselamatan.

Pasang dengan bun tambah nosecone dan kemudian tambahkan ini pada pelayan anda. Lihat dokumen untuk mendapatkan butiran.

import { createMiddleware } from "@nosecone/next";

// Remove your middleware matcher so Nosecone runs on every route.

export default createMiddleware();

Menetapkan pengepala keselamatan Deno

Nosecone berfungsi dengan servis Deno untuk menetapkan pengepala keselamatan. Pasang deno add npm:nosecone dan kemudian tambahkan ini pada pelayan anda. Lihat dokumen untuk mendapatkan butiran.

import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"

/** @type {import('@sveltejs/kit').Config} */
const config = {
  preprocess: vitePreprocess(),

  kit: {
    // Apply CSP with Nosecone defaults
    csp: csp(),
    adapter: adapter(),
  },
};

export default config;

Menetapkan pengepala keselamatan Node.js

Nosecone juga boleh berfungsi dengan aplikasi Node.js, tetapi jika anda menggunakan Express.js (dengan sendirinya atau dengan Remix) maka kami mengesyorkan menggunakan Helmet, yang memaklumi banyak kerja kami tentang Nosecone.

Pasang dengan npm i nosecone dan kemudian tetapkan ini pada pelayan Node.js anda. Lihat dokumen untuk mendapatkan butiran.

import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";

export const handle = sequence(createHook());

Menyumbang

Nosecone ialah sumber terbuka jadi jangan ragu untuk menyerahkan isu untuk sebarang penambahbaikan atau perubahan. Kami juga menggunakan Discord jika anda memerlukan bantuan!

Atas ialah kandungan terperinci Nosecone: perpustakaan untuk menetapkan pengepala keselamatan dalam Next.js, SvelteKit, Node.js, Bun dan Deno. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!