Express.js - Helmet.js和其他中间件，以及安装的应用程序？

Question

在最近的一个学习项目中，我使用三个Express.js应用程序将项目分成更易于管理的部分。

一个应用程序是“主”应用程序，它是监听连接的应用程序。另外两个安装在主应用程序的特定路径上。

在主应用程序上调用app.disable('x-powered-by');以禁用X驱动的标头是否就足够了，还是需要在每个安装的应用程序中都这样做？

类似地，我正在研究如何使用Helmet.js来尝试为整个项目添加一些额外的安全性。在主应用程序中包含来自Helmet.js的任何中间件，还是需要在挂载的应用程序中定义这些中间件？

我不觉得我理解一些设置和中间件如何影响挂载的Express.js应用程序，并希望得到更多经验的任何人的进一步解释。

编辑:在使用app.disable('x-powered-by')并检查服务器的响应之后，如果我没有在主应用程序实例和任何已挂载的应用程序实例中禁用它，X驱动的标头就会出现。因此，我假设Helmet.js中间件的操作方式是相同的，但我不能百分之百肯定。有人能确认这是否是预期的行为吗？

Answer 1

你说的一切都是对的。

听起来你在做这样的事：

var express = require('express')

var mainApp = express()
var miniAppA = express()
var miniAppB = express()

mainApp.use('/a', miniAppA)
mainApp.use('/b', miniAppB)

mainApp.listen(3000)

这是一个做事情的好方法，但标题将被覆盖在子应用程序中，正如您所看到的。

您可以使用Express 4的路由器功能来缓解这种情况。不用用express()制作新的迷你应用程序，你可以使用express.Router()。这些是功能较少的Express应用程序(例如，它们不以相同的方式设置头)。

像这样的事情也许能解决你的问题：

var express = require('express')

var mainApp = express()
var miniAppA = express.Router()
var miniAppB = express.Router()

mainApp.use('/a', miniAppA)
mainApp.use('/b', miniAppB)

mainApp.listen(3000)