как установить заголовок HSTS в create-реагировать-приложение

Question

У меня есть приложение, которое я собирал, и я запустил его с create-react-app. Я пытаюсь сделать его более безопасным, добавляя заголовки HSTS или аналогичные, но, похоже, не могу найти в Интернете ничего, что объясняет способ сделать это, когда вы не создали свой собственный сервер. Большинство ответов используют nginx или apache. Мой бэкэнд встроен в node.js express и использует helmet.js, который работает нормально, однако мой веб-интерфейс полностью отделен, и я предполагаю, что мой бэкэнд в безопасности не решит проблему. Я видел пакет react-helmet, но я не уверен, что это то, что я ищу. Можете ли вы использовать этот пакет для установки такого типа заголовка http и как вы это сделаете?

Answer 1

Не беспокойтесь о безопасности в режиме разработки сборки.Вы не можете управлять hsts и другими заголовками http, отправляемыми браузеру сервером в разработке.Вы должны беспокоиться о том, чтобы разместить его на производстве.Когда вы создаете его для производства и обслуживаете его со своего экспресс-сервера, добавьте это.

На вашем экспресс-сервере вы сможете использовать посредника hsts.Итак, если вы просто хотите, чтобы hsts сделал это:

Запустите npm install hsts

и затем добавьте это на ваш экспресс-сервер.

const hsts = require('hsts')

app.use(hsts({
  maxAge: 15552000  // 180 days in seconds
}))

Или вы можете использовать helmet, который включает несколько других посредников для повышения безопасности.

npm install --save helmet

var helmet = require('helmet')
app.use(helmet())

См. Наилучшие методы обеспечения безопасности на expressjs.com