如何在create-react-app中设置HSTS头

Question

我有一个我一直在构建的应用程序，我是从create-react-app开始的。我试图通过添加HSTS头或类似的东西来使其更安全，但似乎在没有构建自己的自定义服务器的情况下，在网上找不到任何可以解释这一点的方法。大多数答案都是使用nginx或apache。我的后端是用node.js express构建的，并使用helmet.js，它工作得很好，但是我的前端是完全独立的，我猜我的后端是安全的并不能真正解决问题。我看到了react-helmet包，但我不确定这是否是我要找的。你能用这个包来设置这种http头吗?你会怎么做呢？

Answer 1

不要担心开发模式构建中的安全性。您不能控制开发中的服务器发送到浏览器的hsts和其他http头。你应该担心什么时候为生产托管它。当您为生产而构建它并从您的express服务器上提供它时，添加以下内容。

在express服务器中，您应该能够使用hsts中间人。因此，如果您只想使用hsts，请执行以下操作：

运行npm install hsts

然后将其添加到您的express服务器中。

const hsts = require('hsts')

app.use(hsts({
  maxAge: 15552000  // 180 days in seconds
}))

或者，您可以使用包含其他几个中间商的helmet来提高安全性。

npm install --save helmet

var helmet = require('helmet')
app.use(helmet())

请参阅Best Security Practices on expressjs.com