如何解决未为js,css和资产的Node Express应用设置X-Content-Type-Options标头缺少标头
我有一个使用Node&Express构建的web应用,该应用在FactoryBot.define do
factory :user do
sequence(:email) { |n| "person#{n}@example.com" }
password {'blablabla'}
end
factory :token do
association :user,factory: :user
refresh_token {"XXXXX"}
end
factory :profile do
association :user,factory: :user
association :token,factory: :token
end
end
目录中具有一些js,css和资产文件(图像)。
/public
最近我一直在使用OWASP Zap来扫描应用程序,并确保已达到安全性最佳实践。
缺少X-Content-Type-Options标头
但是,在app.use(express.static(__dirname + '/public'));
中,我进行了以下设置:index.js
,并且可以从部署的应用程序上的Chrome开发人员工具中进行验证。
进一步查看由扫描生成的报告-似乎Web应用程序URL实际上并不会产生此警告,而是向res.set('X-Content-Type-Options',"nosniff");
和js/
和{{1 }}资源。
这使我陷入了一个循环,我不确定到底该如何解决这个问题,或者我是否以某种方式配置了我的快速服务器以使其首先出现。
扫描为css/
标头返回了类似的问题,但是我已经能够在为该标头设置的值中添加assets/
来解决该特定问题。但是Strict-Transport-Security
标头似乎没有相似的值。
任何建议或见识将不胜感激!干杯。
也;这个问题似乎与this question类似,尽管该问题已经存在了两年,没有得到回答,并且使用了不同的框架进行应用,所以我认为这不是重复的问题。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。