原创2026/3/5大约 1 分钟
Helmet
Helmet 可以通过适当设置 HTTP 标头来帮助保护你的应用免受一些众所周知的 Web 漏洞的侵害。 一般来说,Helmet 只是一些较小的中间件函数的集合,它们设置与安全相关的 HTTP 标头
提示
请注意,将 helmet 应用为全局或注册它必须在对 app.use() 的其他调用或可能调用 app.use() 的设置函数之前进行。 这是由于底层平台(即 Express 或 Fastify)的工作方式,中间件/路由的定义顺序很重要。 如果在定义路由后使用 helmet 或 cors 等中间件,则该中间件将不会应用于该路由,它只会应用于中间件之后定义的路由。
首先安装所需的包。
npm i --save helmet安装完成后,将其作为全局中间件应用。
import helmet from 'helmet'
app.use(helmet())CSRF
跨站点请求伪造(也称为 CSRF 或 XSRF)是一种对网站的恶意利用,其中 unauthorized 命令从 Web 应用信任的用户传输。 要减轻这种攻击,你可以使用 csurf 包
首先安装所需的包
npm i --save csurf安装完成后,将其作为全局中间件应用。
import * as csurf from 'csurf'
app.use(csurf())警告
此中间件需要先初始化会话中间件或 cookie-parser
如果开启csurf(),将会阻止一切非本站点的请求,开启时请慎重考虑
至此,本章节的学习就到此结束了,如有疑惑,可对接技术客服进行相关咨询。