中间件订单快件

Question

根据Security Best Practices by Express，我实现了Helmet。

由于我正在使用多个中间件(cookie-session、morgan、body-parser和各种自制的中间件进行身份验证)，我现在想知道我应该将它们放在哪个顺序。

是否有关于中间件的最佳实践指南，它们的安全性和顺序？

Answer 1

在您的情况下，我会使用头盔作为第一个中间件。

最重要的原因是HSTS的处理。这将处理用户被迫使用站点的HTTPS版本而不是普通HTTP版本的比特。

不首先在HTTPS站点上列出头盔可能会导致一些有趣的漏洞，因为用户可能通过HTTP启动事务，将敏感信息传递给可以恶意使用的THEN应用程序，然后将请求通过头盔重定向到HTTPS (不好)。

这是一个有趣的问题，这是绝对应该添加到头盔医生。