ウェブフロントエンド
jsチュートリアル
Nosecon: Next.js、SvelteKit、Node.js、Bun、および Deno でセキュリティ ヘッダーを設定するためのライブラリ
Nosecon: Next.js、SvelteKit、Node.js、Bun、および Deno でセキュリティ ヘッダーを設定するためのライブラリ
私たちは、Content Security Policy (CSP) や HTTP Strict Transport Security (HSTS) などのセキュリティ ヘッダーを簡単に設定できるように設計されたオープンソース ライブラリである Nosecon を発表できることを嬉しく思います。 Next.js、SvelteKit、および Bun、Deno、または Node.js を使用するその他の JavaScript フレームワーク
ヘッダーはいつでも手動で設定できますが、環境固有の構成、インライン スクリプトやスタイルの動的な nonce が必要な場合、またはカスタム構成が必要なバリエーションが多数ある場合は、複雑さが増します。
2025 年に施行される PCI DSS 4.0 のより厳格なセキュリティ ヘッダー要件に適応している場合でも、単にアプリのセキュリティを強化したい場合でも、Nosecon は以下を提供します。
- 実用的なデフォルトを備えたタイプセーフな API。
- Next.js 用のミドルウェア アダプター
- SvelteKit の設定フック。
- Bun、Deno、Node.js の Web サーバーと簡単に統合できます。
Nosecon をスタンドアロン ライブラリとして、または Arcjet Security as Code SDK と一緒に使用して、攻撃、ボット、スパムに対するアプリの防御をさらに強化できます。
クイック スタート ガイドを読み、GitHub のソース コードを確認してください。
セキュリティヘッダー
Nosecone は、一般的な JS API、Next.js 用のミドルウェア アダプター、および適切なデフォルトを設定するための SvelteKit 用の構成フックを提供します。これらをローカルでテストし、コードとして構成を簡単に調整できます。
Nosecon はオープンソースであり、次のセキュリティ ヘッダーをサポートしています:
- コンテンツ セキュリティ ポリシー (CSP)
- クロスオリジンエンベッダーポリシー (COEP)
- クロスオリジンオープナーポリシー
- クロスオリジンリソースポリシー
- オリジン-エージェント-クラスター
- リファラーポリシー
- 厳格なトランスポート セキュリティ (HSTS)
- X-Content-Type-Options
- X-DNS-プリフェッチ制御
- X-ダウンロード オプション
- X フレーム オプション
- X-許可されたクロスドメインポリシー
- X-XSS 保護
デフォルトは次のようになります:
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Next.js セキュリティ ヘッダーの設定
Nosecon は、デフォルトのヘッダーを設定するための Next.js ミドルウェア アダプターを提供します。
npm i @nosecone/next を使用してインストールし、この middleware.ts ファイルをセットアップします。詳細については、ドキュメントを参照してください。
import { createMiddleware } from "@nosecone/next";
// Remove your middleware matcher so Nosecone runs on every route.
export default createMiddleware();
SvelteKit セキュリティ ヘッダーの設定
Nosecone は、SvelteKit のデフォルトのセキュリティ ヘッダーを設定するための CSP 構成とフックを提供します。
npm i @nosecone/sveltekit を使用してインストールし、この svelte.config.js ファイルをセットアップします。詳細については、ドキュメントを参照してください。
import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"
/** @type {import('@sveltejs/kit').Config} */
const config = {
preprocess: vitePreprocess(),
kit: {
// Apply CSP with Nosecone defaults
csp: csp(),
adapter: adapter(),
},
};
export default config;
SvelteKit 構成で CSP を設定すると、他のセキュリティ ヘッダーを src/hooks.server.ts のフックとして設定できます
HTTP/1.1 200 OK content-security-policy: base-uri 'none'; child-src 'none'; connect-src 'self'; default-src 'self'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame-src 'none'; img-src 'self' blob: data:; manifest-src 'self'; media-src 'self'; object-src 'none'; script-src 'self'; style-src 'self'; worker-src 'self'; upgrade-insecure-requests; cross-origin-embedder-policy: require-corp cross-origin-opener-policy: same-origin cross-origin-resource-policy: same-origin origin-agent-cluster: ?1 referrer-policy: no-referrer strict-transport-security: max-age=31536000; includeSubDomains x-content-type-options: nosniff x-dns-prefetch-control: off x-download-options: noopen x-frame-options: SAMEORIGIN x-permitted-cross-domain-policies: none x-xss-protection: 0 Content-Type: text/plain Date: Wed, 27 Nov 2024 21:05:50 GMT Connection: keep-alive Keep-Alive: timeout=5 Transfer-Encoding: chunked
Bun セキュリティヘッダーの設定
Nosecone を Bun Web サーバーに接続して、セキュリティ応答ヘッダーを直接設定できます。
パンとノーズコーンを追加してインストールし、これをサーバーに追加します。詳細については、ドキュメントを参照してください。
import { createMiddleware } from "@nosecone/next";
// Remove your middleware matcher so Nosecone runs on every route.
export default createMiddleware();
Deno セキュリティヘッダーの設定
Nosecone は Deno サーブと連携してセキュリティ ヘッダーを設定します。 deno add npm:nosecon をインストールし、これをサーバーに追加します。詳細については、ドキュメントを参照してください。
import adapter from "@sveltejs/adapter-auto";
import { vitePreprocess } from "@sveltejs/vite-plugin-svelte";
import { csp } from "@nosecone/sveltekit"
/** @type {import('@sveltejs/kit').Config} */
const config = {
preprocess: vitePreprocess(),
kit: {
// Apply CSP with Nosecone defaults
csp: csp(),
adapter: adapter(),
},
};
export default config;
Node.jsセキュリティヘッダーの設定
Nosecon は Node.js アプリケーションでも動作しますが、Express.js を (単独で、または Remix と組み合わせて) 使用している場合は、Helmet を使用することをお勧めします。これは Nosecon の作業の多くに影響を与えました。
npm i namescone を使用してインストールし、これを Node.js サーバーに設定します。詳細については、ドキュメントを参照してください。
import { createHook } from "@nosecone/sveltekit";
import { sequence } from "@sveltejs/kit/hooks";
export const handle = sequence(createHook());
貢献する
Nosecon はオープンソースなので、改善や変更が必要な場合は、お気軽に問題を送信してください。サポートが必要な場合は、Discord もご利用ください!
以上がNosecon: Next.js、SvelteKit、Node.js、Bun、および Deno でセキュリティ ヘッダーを設定するためのライブラリの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1662
14
1419
52
1313
25
1262
29
1235
24
javascriptの分解:それが何をするのか、なぜそれが重要なのか
Apr 09, 2025 am 12:07 AM
JavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1)イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2)動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3)非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。
JavaScriptの進化:現在の傾向と将来の見通し
Apr 10, 2025 am 09:33 AM
JavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。
JavaScriptエンジン:実装の比較
Apr 13, 2025 am 12:05 AM
さまざまなJavaScriptエンジンは、各エンジンの実装原則と最適化戦略が異なるため、JavaScriptコードを解析および実行するときに異なる効果をもたらします。 1。語彙分析:ソースコードを語彙ユニットに変換します。 2。文法分析:抽象的な構文ツリーを生成します。 3。最適化とコンパイル:JITコンパイラを介してマシンコードを生成します。 4。実行:マシンコードを実行します。 V8エンジンはインスタントコンピレーションと非表示クラスを通じて最適化され、Spidermonkeyはタイプ推論システムを使用して、同じコードで異なるパフォーマンスパフォーマンスをもたらします。
JavaScript:Web言語の汎用性の調査
Apr 11, 2025 am 12:01 AM
JavaScriptは、現代のWeb開発のコア言語であり、その多様性と柔軟性に広く使用されています。 1)フロントエンド開発:DOM操作と最新のフレームワーク(React、Vue.JS、Angularなど)を通じて、動的なWebページとシングルページアプリケーションを構築します。 2)サーバー側の開発:node.jsは、非ブロッキングI/Oモデルを使用して、高い並行性とリアルタイムアプリケーションを処理します。 3)モバイルおよびデスクトップアプリケーション開発:クロスプラットフォーム開発は、反応および電子を通じて実現され、開発効率を向上させます。
Python vs. JavaScript:学習曲線と使いやすさ
Apr 16, 2025 am 12:12 AM
Pythonは、スムーズな学習曲線と簡潔な構文を備えた初心者により適しています。 JavaScriptは、急な学習曲線と柔軟な構文を備えたフロントエンド開発に適しています。 1。Python構文は直感的で、データサイエンスやバックエンド開発に適しています。 2。JavaScriptは柔軟で、フロントエンドおよびサーバー側のプログラミングで広く使用されています。
next.jsを使用してマルチテナントSaaSアプリケーションを構築する方法(フロントエンド統合)
Apr 11, 2025 am 08:22 AM
この記事では、許可によって保護されたバックエンドとのフロントエンド統合を示し、next.jsを使用して機能的なedtech SaaSアプリケーションを構築します。 FrontEndはユーザーのアクセス許可を取得してUIの可視性を制御し、APIリクエストがロールベースに付着することを保証します
C/CからJavaScriptへ:すべてがどのように機能するか
Apr 14, 2025 am 12:05 AM
C/CからJavaScriptへのシフトには、動的なタイピング、ゴミ収集、非同期プログラミングへの適応が必要です。 1)C/Cは、手動メモリ管理を必要とする静的に型付けられた言語であり、JavaScriptは動的に型付けされ、ごみ収集が自動的に処理されます。 2)C/Cはマシンコードにコンパイルする必要がありますが、JavaScriptは解釈言語です。 3)JavaScriptは、閉鎖、プロトタイプチェーン、約束などの概念を導入します。これにより、柔軟性と非同期プログラミング機能が向上します。
next.jsを使用してマルチテナントSaaSアプリケーションを構築する(バックエンド統合)
Apr 11, 2025 am 08:23 AM
私はあなたの日常的な技術ツールを使用して機能的なマルチテナントSaaSアプリケーション(EDTECHアプリ)を作成しましたが、あなたは同じことをすることができます。 まず、マルチテナントSaaSアプリケーションとは何ですか? マルチテナントSaaSアプリケーションを使用すると、Singの複数の顧客にサービスを提供できます
